読者です 読者をやめる 読者になる 読者になる

セキュリティ対策としての"パスワードの定期的な変更"は無意味

PC スマホ

“ネットサービス(Google, Evernote, Dropbox…)のパスワードは数カ月おきに, 定期的に変更するようにしましょう”と, 今まではいわれていましたが, 最近ではその限りではないようです.

support.google.com

これはGoogleのセキュリティに関するアドバイスのページですが,

  • OSやブラウザの定期的な更新(最新のものを利用する)
  • パスワードの使い回しをしない
  • 安全なパスワードを使う

などのアドバイスはありますが, “パスワードを定期的に変更する"という項目はありません.

おそらくは

“一度パスワードが盗み取られたとき, 侵入者が侵入を続けられる時間をできるだけ短くして, リスクを最小に抑える”

ことを目的としているのでしょうが, 実際には侵入者はそう何ヶ月も居座っておらず, 上の目的を達成するには数分に一度パスワードを変更しなければいけなくなってしまいます.

また, 人によってはパスワードの毎度の変更が億劫になって, パスワードを使いまわしたり付箋にメモしたりしてしまうかもしれません! この方が遥かに危険です.

そういうわけで, 多くの場合, パスワードの定期的な変更は無意味のようです. 上のGoogleのページに書いてあるように, できるだけ複雑なパスワードを個別に作り, 安全な方法で管理するべきです.

パスワードの管理には, 僕の場合KeePassXというアプリを使用しています.

Windows, macOS, Linuxに対応していて, AndroidiOS用のアプリもあります. Dropboxなどを使えば相互に同期もできるので便利です.