パスワードの定期的な更新が推奨されない理由とは

画像提供：マイナビニュース

ESETはこのほど、「How often should you change your passwords?」において、パスワードの定期的な更新を推奨しない理由とパスワードのベストプラクティスを伝えた。モバイルデバイスにおいては生体認証などのパスワードレス認証が主流となってきているが、デスクトップ環境においてはパスワードが依然として主流としてその取り扱いの注意点を解説している。

○なぜパスワードの定期的な更新は推奨されないのか

ESETはパスワードの定期的な更新を推奨しない理由として、以下を挙げている。

米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の報告によると、「ユーザーは近い将来にパスワードを変更することがわかっている場合、記憶された弱いパスワードを選択する傾向にある」とされ、定期的なパスワード更新はパスワードを弱体化させる原因となる
弱体化を避けようとすると、ユーザーはパスワードの数字をインクリメントするなどの単純な変換をするようになる。この場合、パスワードを定期的に更新する意味がない
英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)の報告によると、定期的なパスワードの更新をユーザーに要求すると、パスワードをメモに書き留めたり忘れたりする可能性が高くなり、セキュリティ向上に寄与しない

しかしながら、次の条件に当てはまる場合はパスワードの更新が必要としている。

サイバー攻撃などによりオンラインサービスから認証情報が漏洩した
既知の漏洩したパスワードまたは弱いパスワードを使用している
パスワードを複数のアカウント間で共有している
デバイスが侵害された
パスワードを他人と共有した
共有アカウントからメンバーを削除した
公共のコンピュータ(図書館など)や他人のコンピュータでパスワードを使用した

○パスワードのベストプラクティス

ESETはアカウントを保護するためのパスワードのベストプラクティスを次のように挙げ、実践を推奨している。

常に強力で一意のパスワードを使用する
パスワードを忘れないようにパスワードマネージャーを使用する。ただし、ブラウザのパスワードマネージャーは使用しない
利用しているオンラインサービスからパスワード侵害に関わる通知を受けた場合は、フィッシングメールか慎重に調査した上で必要な行動を取る
可能な場合はパスキー、または多要素認証(MFA: Multi-Factor Authentication)を使用する
定期的にパスワードの監査を実施し、脆弱なパスワードを使用していないこと、パスワードの重複が存在しないことを確認する。また、既知の漏洩パスワード一覧に登録されていないことを確認する
パスワードはブラウザに保存しない。ブラウザに保存された認証情報は脅威アクターの主要な標的の1つとされる

ESETは強力なパスワードを入手する方法として、無料の「Password generator - get your unique strong password | ESET」の使用を推奨している。このパスワードジェネレーターはパスワードの長さ、使用する文字種を指定してパスワードを生成することができる。生成されたパスワードの強度を表示する機能もあり、知識がなくても強力で安全なパスワードを入手できる。
（後藤大地）