パスワードを定期的に変更するのは絶対NG

セキュリティを高める方法として、「パスワードを定期的に変更する」というテクニックを聞いたことはありませんか？

確かに、かつてはパスコードを定期的に変更する事が、セキュリティを向上させると考えられていました。

しかし、パスワードを定期的に変更させると、ユーザーは「変更しても覚えていられる簡単なパスワード」を作りがちであるため、セキュリティ上かえって危険という事が判明しています。

パスワードの変更を強制すると、人はより脆弱なパスワードを選ぶようになるのだ。

ノースカロライナ大学チャペルヒル校で、学生と教職員のパスワードの習慣について調査した。対象者には3カ月ごとにパスワードを変更するよう求めた。その結果、ユーザーのパスワード変更は、攻撃者が簡単に推測できるような小さなものになった。

出典：パスワードは定期的に変更すべき？–もはや時代遅れな3つのルール – CNET Japan

その為、現在では「パスワードは定期的に変更しなくてよい」という考えに変わっています。

国家機関が「パスワードは定期的に変更しなくて良い」と明言

米国国立標準技術研究所（NIST）は、2016年に「パスワードの定期変更をユーザーに求めるべきではない」と文書で明言しました。

NISTに勤め、「パスワードは定期的に変更するべき」というルールを考案したビル・バー氏は、2017年にこのルールが誤りであると告白しました。

告白したのは米国立標準技術研究所（NIST）に勤務していた2003年にパスワードの作成および変更にまつわるルールを考案したBill Burr氏。同氏がまとめた手順書「NIST Special Publication 800-63. Appendix A.」はNISTを通じて世界中で使われるようになったが、それらのルールは結果的に間違いであり、ユーザーが真に利用すべきなのは長く覚えやすいパスワードであり、変更するのは90日ごとではなくパスワードが流出した場合のみだったというもの。

出典：【やじうまWatch】「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言 – INTERNET Watch

（余談ですが、ビル・バー氏はこの告白において「世界に誤った見解を広めたきっかけとなったことを深く後悔している」と語っています。）

日本の総務省や内閣サイバーセキュリティセンター（NISC）も、パスワードの定期的な変更は不要であると示しています。

総務省が運営するサイト「国民のためのサイバーセキュリティサイト」には、以下のように記されています。

利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。

出典：安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト

パスワードを定期的に変更してはいけない！

パスワードを定期的に変更する必要はありません。

むしろ、パスワードの定期的な変更はセキュリティを低下させるという事が分かっています。

NISTによると、「ユーザーは近い将来にパスワードを変更することがわかっている場合、記憶された弱いパスワードを選択する傾向にある」ため、定期的にパスワードを変更すると、むしろ弱いパスワードを設定してしまい、セキュリティを低下させてしまうとの事。

パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。

出典：“パスワード変更”をユーザーに定期的に要求はダメ　米国政府機関が発表：ITmedia NEWS

その為、現在NISTは「定期的にパスワードを変更するようユーザーに要求してはならない」とサービス提供者に啓発しています。

また、英国立サイバーセキュリティセンターも、定期的なパスワードの更新をユーザーに要求すると、パスワードをメモに書き留めたり忘れたりする可能性が高くなるため、セキュリティ向上には寄与しないと報告しています。

日本の総務省も、「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題」とウェブサイトに記しています。