「パスワードを定期的に変更する」は、パスワードに関する一般的なアドバイスですが、必ずしも良いアドバイスとは限りません。ほとんどのパスワードを定期的に変更する必要はありません。弱いパスワードを使用することをお勧めし、時間を無駄にします。
はい、定期的にパスワードを変更したい場合があります。しかし、それらはおそらく規則ではなく例外になるでしょう。一般的なコンピュータユーザーに、定期的にパスワードを変更する必要があると伝えるのは間違いです。
定期的なパスワード変更の理論
定期的なパスワードの変更は、誰かがあなたのパスワードを取得して、それを使用して長期間にわたってあなたを詮索することができないようにするため、理論的には良い考えです。
たとえば、誰かがあなたの電子メールパスワードを取得した場合、その人はあなたの電子メールアカウントに定期的にログインし、あなたの通信を監視する可能性があります。誰かがあなたのオンラインバンキングのパスワードを取得した場合、彼らはあなたの取引を覗き見したり、数か月後に戻ってきて自分の口座に送金しようとしたりする可能性があります。誰かがあなたのFacebookパスワードを取得した場合、彼らはあなたとしてログインし、あなたのプライベートな通信を監視する可能性があります。
理論的には、パスワードを定期的に(おそらく数か月ごとに)変更することで、これを防ぐことができます。誰かがあなたのパスワードを取得したとしても、悪意のある目的でアクセスを使用するのに数か月しかありません。
欠点
パスワードの変更は、一気に検討するべきではありません。人間が無限の時間と完璧な記憶を持っていれば、定期的にパスワードを変更するのは良い考えです。実際には、パスワードの変更は人々に負担をかけます。
パスワードを定期的に変更すると、適切なパスワードを覚えにくくなります。強力なパスワードを作成してメモリにコミットするのではなく、数か月ごとに新しいパスワードを覚えておく必要があります。コンピュータシステムによって定期的にパスワードを変更することを余儀なくされているユーザーは、番号を追加してしまう可能性があります。そのため、password1、password2などを使用する可能性があります。
1つのアカウントのパスワードを定期的に変更し、毎回新しいパスワードを覚えておくのは難しいことです。しかし、私たち全員には多くのパスワードがあります。パスワードを定期的に変更し、多数のサービスに対して一意で強力なパスワードを常に覚えておく必要があることを想像してみてください。
すべてのウェブサイトに強力で一意のパスワードを選択して覚えておくことは、基本的にすでに不可能です。そのため、 LastPassやKeePassなどのパスワードマネージャーの使用をお勧めします 。数か月ごとにパスワードを変更すると、弱いパスワードを使用して、複数のWebサイトで再利用することになります。パスワードを定期的に変更するよりも、どこでも強力で一意のパスワードを使用することがはるかに重要です。
パスワードの変更が必ずしも役に立たない理由
パスワードを定期的に変更しても、思ったほど役に立ちません。攻撃者があなたのアカウントにアクセスした場合、攻撃者はそのアクセスを使用してすぐに損害を与える可能性があります。彼らがあなたのオンラインバンキング口座にアクセスできるようになると、彼らは座って待つのではなく、ログインして送金を試みます。オンラインショッピングアカウントにアクセスすると、ログインして、保存したクレジットカード情報を使用して商品を注文しようとします。彼らがあなたのメールにアクセスした場合、彼らはそれをスパムや フィッシング 、またはそれを使用して他のサイトのパスワードをリセットしようとします。彼らがあなたのFacebookアカウントにアクセスした場合、彼らはおそらくすぐにあなたの友人をスパムしたり詐欺したりしようとします。
関連: 誰がこのマルウェアをすべて作っているのか-そしてその理由は?
一般的な攻撃者は、パスワードを長期間保持してあなたを詮索することはありません。それは有益ではありません—そして 攻撃者は利益の直後です 。誰かがあなたのアカウントにアクセスできるかどうかがわかります。
どこでも同じパスワードを使用している場合は、パスワードを定期的に変更することも不可欠です。 パスワードは常に漏洩しています 使用するサービスの1つが危険にさらされたとき。その単一のパスワードを定期的に変更するのではなく、ここで実際の問題に対処し、どこでも一意のパスワードを使用する必要があります。
パスワードを変更したいとき
従来の攻撃者ではない誰かがあなたのアカウントにアクセスできる場合は、パスワードを変更すると役立ちます。たとえば、Netflixのログイン資格情報を元のユーザーと共有したとします。パスワードを変更して、元のユーザーがアカウントを永久に使用できないようにする必要があります。または、あなたの近くにいる誰かがあなたの電子メールまたはFacebookのパスワードにアクセスし、あなたのパスワードを使用してあなたをスパイしたとします。パスワードを変更すると、主にこの種のアカウントの共有とスヌーピングが防止され、世界の反対側の誰かがアクセスできるようになるのを防ぐことはできません。
定期的なパスワードの変更は、一部の作業システムにとっても価値がありますが、慎重に使用する必要があります。 IT管理者は、正当な理由がない限り、ユーザーにパスワードを絶えず変更するように強制するべきではありません。ユーザーは、弱いパスワードを使い始めたり、パスワードを書き留めたり、2つのお気に入りのパスワードを切り替えたりするだけです。
関連: Heartbleed Explained:なぜ今すぐパスワードを変更する必要があるのか
もちろん、特定のイベントに応じてパスワードを変更するのは良いことです。でパスワードを変更することをお勧めします 脆弱なWebサイト ハートブリードですが、パッチを適用しました。 Webサイトのパスワードデータベースが盗まれた後でパスワードを変更することもお勧めします。
さまざまなWebサイトでパスワードを再利用している場合、それらのサイトの1つが侵害された場合は、それらすべてのサイトでパスワードを変更することをお勧めします。しかし、これはあなたができる最悪のことです。ここでの本当の解決策は、使用するすべてのサービスで共有パスワードを常に新しいものに変更するのではなく、一意のパスワードを使用することです。
役立つアドバイスに焦点を当てる
関連: ハウツーオタクに尋ねる:パスワードを書き留めることの何が問題になっていますか?
パスワードを定期的に変更するように人々にアドバイスすることの問題は、それがそのような気が散るアドバイスであるということです。パスワードマネージャーを使用してパスワードを覚えていない場合、どこでも強力で一意のパスワードを使用することは、すでにほとんど不可能なアドバイスです。 二要素認証 また、誰かがあなたのパスワードを盗んだ場合でも、あなたのアカウントにアクセスできないようにすることができるので便利です。パスワードを定期的に変更するように人々に指示するのではなく、「どこでも一意のパスワードを使用する」などの役立つアドバイスを伝える必要があります。これは、現在ほとんどの人が行っていないことです。
私たちが同意しないアドバイスはこれだけではありません。ほとんどのホームユーザーにとって、 いくつかのパスワードを書き留めることは実際には悪い考えではありません —どこでも同じパスワードを再利用するよりも間違いなく優れています。
定期的で無差別なパスワード変更に反対するようアドバイスしているのは私たちだけではありません。セキュリティの専門家であるブルースシュナイアーがその理由について書いています パスワードを定期的に変更することは良いアドバイスではありません 、Microsoft Researchはまた、次のように結論付けています。 パスワードを定期的に変更するのは時間の無駄です 。はい、これを実行したい場合もありますが、「3か月ごとにパスワードを変更する」などのアドバイスを一般的なコンピューターユーザーに渡すことは、利益よりも害を及ぼします。
画像クレジット: Flickrのrochellehartman 、 FlickrのLuluHoeller 、 FlickrのJoannaPoe 、 Flickrのsnoopsmaus 、 メレディスアンフリッカー
