実は"定期的なパスワード変更"は必要ない 「ありがちな変換」でリスク増大

「込み入ったパスワード要件の移り変わり」

そもそも「パスワードは複数文字種を組み合わせて8文字以上とし、定期的に変更するべき」といったような基準はどこから生まれてきたのか。

これはアメリカ国立標準技術研究所という機関が作成したガイドラインが元と言われている。2003年に出されたパスワードセキュリティーに関する文書では「パスワードの定期変更を推奨する」という記述があったが、2017年に出された文書ではその記述に変化があった。

「パスワードが漏えいしたと思われる事態を除いて、パスワードの変更を強制するべきではない」というもので、今までの「パスワードの定期的な変更の推奨」を覆す内容であった。定期的な変更を強制して、推測可能な弱いパスワードを設定してしまうよりも、パスワードそのものの強度を上げることの方がセキュリティー的には強固であるという見解だ。

そこで、複数文字種を使って複雑性を高めて強度を上げる従来の方法ではなく、パスワード自体の文字数を長くする「パスフレーズ」という考え方が注目を浴びている。

従来の“P@$$w0rd!”のようなパスワードではなく、“watashi ha tokyo umare desu”（私は東京生まれです）といった文章（フレーズ）をそのままパスワードに設定するのだ。この例で見てみると、複数文字種で構成された9文字のパスワードは一見複雑で、推測が難しいように感じる。実際は、空白を含む小文字だけで構成された、27文字のパスフレーズの方が、犯罪者にとってみると、推測には計算上数十年から数百年かかり、困難だという研究結果もある。

パスワードの定期的な変更からの解放！

パスフレーズが浸透してこなかった理由の1つとして、システムの仕様があげられる。

・設定できる文字数に上限がある（12文字、16文字等）
・空白（スペース）が使えない

こういった制限をかけているサービスは珍しくなく、複数文字種を使うことで強度を上げることが主流であった。

逆に、世の中の流れがパスフレーズに向くと、システム側は仕様の変更が必要になるだろう。文字数の上限を少なくとも64文字以上にする、空白を使えるようにする、といった制限の緩和に加えて、「ペースト機能を使えるようにする」のも重要だ。文字ペーストが禁止されていて、パスワード入力時に毎回20～30文字をタイプする、というのは想像するだけで気持ちがなえる。

システムの改修が進み、パスフレーズが利用できるようになったとしても、複数サービスでの「使い回し」が危険なことに変わりない。いくら覚えやすいとは言っても、数十文字のパスフレーズを複数も覚えるのは現実的ではないかもしれない。それには複数のIDとパスワードを管理するツールも多く出回っているので、利用する際はツール自体の安全性を確認した上で活用いただきたい。

システムの改修にはある程度の時間を要することが考えられるが、いずれ「パスフレーズ」を利用できるサービスが主流になる。

相変わらず使いまわしやパスワード自体の管理には注意が伴うが、少なくともシステムから「パスワードの定期的な変更」を要求されなくなる日が来るのはそう遠くないはずである。