Original

知らなかった!パスワードの推奨が変わっていた話

Webサービスを利用するとき、オンラインストアで商品を購入するとき、本人認証のしくみは欠かせません。一般的にはIDとパスワードの組み合わせで本人であることを確認するパスワード認証が広く使われています。

パスワードは自分の好きな文字列を設定するという方式が多いこともあり、「これが適切なパスワードです」というルールは意外と知らないものです。そこで今回は、世の中の変化に合わせて少しずつ変わっているパスワードの設定ルールを3つ紹介します。

定期的にパスワードは変更しなくてよい

以前は定期的にパスワードを変更することが推奨されていたため、Webサービス側でも強制的に変更を促すようなしくみにしているところもあります。使い慣れないパスワードを設定してしまい覚えられずに困った経験をされた方もいるでしょう。

しかし2017年頃から、国が発行するセキュリティガイドラインなどでは「定期的な変更をする必要はない」という表現に変わってきています。総務省が情報セキュリティの啓蒙目的で公開している「国民のための情報セキュリティサイト」では、「これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。」と紹介しています。

パスワードを定期変更するとパターン化して類推されやすくなったり、覚えるために短くなったり、同じパスワードを使いまわしたりすることが起きやすいためです。現在は、パスワードを定期的に変更するよりも、複数サービスで使い回せずに固有のパスワードを設定して使うことのほうが重要だとされています。

大文字、小文字、記号、数字などを必ずしも組合わせなくてOK

Webサービスによっては「必ず記号と数字を入れた〇文字以上」といった条件に合ったパスワードを要求する場合があります。これは今まではアルファベットの大文字と小文字に加え、数字や記号を加えるのが良いパスワードとされていたためです。これは複雑なパスワードを設定できる反面、無理に条件に合わせようとすると、結果として特定の文字列でaを1に置き換えただけのような、安易にルール化されたパスワードになってしまう危険があります。

現在は、文字種を増やすよりも文字数を多くしたパスワードのほうが強固であるとされています。つまり「J41g2@t3」のような記号や数字を混ぜた8文字のパスワードよりも、「irohanihoheto」のような記号を使わない12文字以上のパスワードのほうがセキュリティ強度が高いとして推奨されています。

もちろん記号や数字を組み合わせたほうが強度は増しますが、制約がないほうが自分が覚えやすくて、使いまわししないでも済む長いパスワードを作りやすくなるという利点があります。

インターネット上のセキュリティ情報を蓄積・情報発信しているJPCERT/CCでは、「STOP! パスワード使い回し!キャンペーン2018」の中で[ 英単語 ]+[ 好きな日本語のローマ字 ]+[ 英単語 ]+[ 英単語 ]… といった組み合わせで文字数を増やしつつ覚えやすいパスワードを作る方法を紹介しています。

秘密の質問にはまじめに答えない

Webサービスのなかには「秘密の質問」を尋ねられることがあります。これは母親の旧姓やペットの名前などを事前に登録しておき、パスワードを忘れてしまったときに答えるとパスワード再設定ができるという機能です。

正直に、正しい答えを設定してしまいまいがちですが、内閣サイバーセキュリティセンターが発行する『ネットワークビギナーのための情報セキュリティハンドブック』では、「秘密の質問にはまじめに答えない」ことが推奨されています。これはSNSなどから個人情報がわかってしまうと答えを類推できる可能性があるためです。

IPAでは、本人が覚えやすく自分にしかわからない「共通フレーズ」を秘密の質問の答えに付け加えることを推奨しています。例えば秘密の質問が「あなたの好きな果物は?」であれば「みかん“カモしれない”」と入力することで第三者に推測されにくい答えにすることができるというものです。この場合「カモしれない」が共通フレーズになり、「あなたの母親の旧姓は?」「前田“カモしれない”」など答えに付け加えます。

パスワードの適切な設定方法とは

パスワード認証の仕組みは、ユーザーが事前に登録したIDとパスワードをフォーム経由でサーバへ送信し、サーバ側で事前に登録してあった情報と照合して認証を行います。つまりパスワードが外部に漏れてしまうと、第三者によってログインが可能になり、不正にサービスを利用されたり個人情報を抜き取られてしまう危険があります。

安全にWebサービスを利用するためには、パスワードを正しく管理することはもちろん、不正に盗まれないよう攻撃されにくいパスワードの作成が必要となります。

基本的な作成ルールは「個人情報からは推測できないこと」「パスワードを使いまわさないこと」「適切な場所に保管すること」「ブラウザに保存しない」など従来から変わらないものですが、ここ数年の間に推奨される内容が変わってきていますので、自宅や会社で短いパスワードを使いまわしている、という方は、一度見直してみることをおすすめします。

「デジタル×紙×マーケティング」関連情報を掲載中

公益社団法人日本印刷技術協会(JAGAT)では、デジタルメディア、印刷物など
多様なメディアを活用した取り組みをWebサイトで紹介しています。