意外と知らない？パスワードのキホン

こんにちは。新米SEのUです。
今回はみなさんも一度は設定したことがあるであろう「パスワード」についてです。

なにかの登録をするときには必ず「ID」や「パスワード」の設定がありますよね。

……でもそのパスワード、本当に安全ですか？
不正利用されないためにも、改めてパスワードについて考えてみましょう。

【パスワードの要素】

パスワードにはさまざまな要素がありますが、代表的な4つをまとめてみました。

1.文字数
→パスワードの文字の数（そのままの意味ですね）

2.複雑さ
→パスワードに使用できる文字の種類
   アルファベット（大文字/小文字）、数字、記号

3.有効期間
→パスワードに有効期間を設け、一定期間使用した際に強制変更するもの

4.パスワード再利用の制限回数
→パスワード変更の際に過去に使用したパスワードとの重複を制限するもの

では、パスワードの要素がわかったところで実際にどのように設定すればいいのでしょうか。

【安全なパスワードの設定方法】

1.文字数は最低でも8文字以上（推奨は12文字以上）
不正アクセス防止のためにもあまりにも短すぎるパスワードは避けましょう。

2.最低でも2種類以上の文字をいれる
本来はアルファベット（大文字/小文字）、数字、記号の4種類全てを組み合わせるのが理想ですが、覚えられない場合は最低でも2種類以上の文字を使いましょう。

3.パスワード再利用の制限回数を設ける
パスワードの使いまわし防止のためにもなるべく制限回数を設けましょう。

4.同じパスワードを複数のサービスで使い回さない
複数のサービスからの情報漏えい防止のためにも、絶対に使い回しはせず、個々にパスワードを設定しましょう。

5.推測されやすいものは避ける
自分や誰かの名前、誕生日や英単語などは推測されやすいため避けましょう。

【安全なパスワードの設定方法～＋α編～】

上記で述べた設定方法に＋αとして、【パスワードの要素】でも紹介した＜有効期間＞があります。

ただし、以前までは定期的なパスワードの変更が推奨されていましたが、NIST (National Institute of Standards and Technology／米国国立標準技術研究所）が2017年に発表したガイドラインでは定期的な変更を要求すべきではないとの記載がされています。
この発表を受け、日本でもNISC（内閣サイバーセキュリティセンター）がパスワードの定期変更は不要であり、流出時に速やかに変更することを推奨しています。
※有効期間を設定することで単純なパスワードにしてしまう危険性があるため

それでも、定期的なパスワードの変更をしてきた人にとっては「変更しないなんて不安」という気持ちもあると思います。
もちろん、「絶対にだめ」なんてことはありませんので、定期的に変更する際には単純なパスワードは避け、【安全なパスワードの設定方法】の5つを守りましょう。

いかがでしたか？
「複雑なパスワードを何個も考えるなんて面倒」「複雑ではないけれど覚えやすい今のパスワードのままでいい」なんて思っている人もいるかもしれません。
……でももし、自分のパスワードが原因で情報漏えいに繋がったら、責任とれますか？
「明日は我が身」です。ぜひこの機会に一度ご自身のパスワードを見直してみてください。

前回の記事はこちら↓