適切なパスワード管理に関するアドバイスは世の中に数多くあります。

たとえば、「各パスワードを強力でユニークにする」「パスワードを安全に管理できるツールを使う」「2要素認証(2FA)を利用してアカウントのセキュリティを強化する」などです。

そして、これらと同じくらい重要視されているアドバイスがあり、それが「定期的にパスワードを変更する」です。この習慣は広く推奨され、多くの企業や組織が年に何度もパスワード変更を義務付けています。

しかし、実際にはこの習慣がセキュリティ向上に役立っているとは言えないのです。

年に何度もパスワードを変更することがセキュリティの基本である、という考え方は一部の人に染み付いているかもしれません。それも無理はありません。なぜなら、特に目新しいアドバイスではないですから。

PCMagの調査によると、この習慣は長い間推奨され続けてきました。

セキュリティ専門家がパスワードについて書くとき、「定期的に変更するべき」と書かれることが多いのです。これは主に悪いセキュリティ習慣への対策として広まったものです。

良いパスワードは変更する必要がない

パスワードを変更すべきなのは、そのパスワードが漏洩した場合だけです。

誰にも知られていないパスワードを変更する理由は特にありませんが、パスワードが盗まれる可能性は常にあります。そのため、「定期的に変更したほうが安全なのでは?」と思う人もいるでしょう。

自分のパスワードのどれが推測されるか、わからないですよね。悪意のある人物に対して先手を打つべきだと考えるのは、ある意味理にかなっています。

しかし、一歩引いて考えてみましょう。そもそも、パスワードが推測されるような状況があってはなりません。もし誰かがあなたのパスワードを推測できるとしたら、それは「悪いパスワード」であり、そもそもそのパスワードを使うべきではなかったということです。

もう一歩踏み込んで言うと、あなたのパスワードはコンピューターによって解読可能であってはならないのです。

優れたパスワードとは、強力かつユニークで基本的に解読不可能なものです。長く、複雑で、ほかのアカウントと使い回していないパスワードであるべきです。

もしある企業のデータが流出したとしても、ほかのアカウントとは異なるパスワードを使っていれば影響を受けることはありません。

Bitwardenのパスワードテスターを使えば、パスワードがどれくらいの時間で解読されるかを確認できます。「Lifehacker」という単語なら8秒で解読されますが、「Lifehackerdaughtcalm」なら数世紀かかります。

したがって、もしあなたのパスワードが十分に強力でユニークであり、理論的に人の寿命を超える時間がかかるほど解読が困難であるなら、3カ月ごとに変更する必要はありません。

1年ごとに変更する必要もありません。むしろ、実際に脅威が発生したときだけ変更すれば十分です。

パスワードを変更すべきタイミング

私は「一度もパスワードを変更しなくてよい」と言っているわけではありません。

パスワードを変更すべきケースはあります。たとえば、他人に知られた場合です。多くの場合、あなたのアカウントを管理している企業のデータ漏洩が原因で発生します。

AT&Tで大規模なデータ漏洩が発生し、ユーザーの認証データがダークウェブに流出したとしましょう。その場合、すぐにパスワードを変更すべきです。

このような事態が起こると、該当企業はパスワード変更を促すでしょうし、場合によってはデータ漏洩に対して何らかの補償を提供することもあります。

もちろん、データ漏洩だけで優れたパスワードが発見されるわけではありません。マルウェアによる被害もあります。

フィッシング詐欺に引っかかってマルウェアをダウンロードしてしまった場合、そのマルウェアが重要なアカウントのパスワードを盗み取ることがあります。

あるいは、偽のログインページに騙されて、そのページにユーザー名とパスワードを入力してしまい、その結果パスワードが漏洩してしまうこともあります。

これらのケースでは、強力かつユニークなパスワードであっても危険にさらされるため、変更が必要になります。しかし、実際にそうしなければならない理由がない限り、パスワードを変更する必要はありません。

もちろん、パスワードを変更することがセキュリティを低下させるわけではありません。実際、企業や組織によってはパスワード変更が義務付けられているため、避けられない場合もあるでしょう。

しかし、パスワードが強力でユニークであり、漏洩もしていない限り、パスワードを頻繁に変更してもメリットはほとんどありません。

時間を無駄にしないセキュリティのヒント

実際にセキュリティを向上させる方法をお望みですか? その場合、すべての強力でユニークなパスワードを、安全なパスワードマネージャーに保存しましょう。

そうすれば、強力でユニークなパスワード1つだけを記憶するだけで済みます。そのパスワードはパスワードマネージャーのマスターキーです。

また、可能な限り2要素認証(2FA)を有効にしましょう。2FAでは、正しいパスワードを入力したあとに、信頼できるデバイスでの認証が必要になります。これにより、たとえ誰かがパスワードを知っていても、認証なしではログインできません(ただし、SMS認証よりも認証アプリやセキュリティキーを優先するのが望ましいです)。

さらに、一部のアカウントでは、パスワードの代わりに「パスキー(Passkeys)」を使うオプションもあります。

パスキーは、パスワードの利便性と2FAのセキュリティを組み合わせたものです。信頼できるデバイスでキーを生成し、サイトにサインインする際はキー使って認証します。

これにより、盗まれるパスワード自体が存在しないため、安全性が向上します。Face IDや暗証番号など、デバイス上で自分自身を認証しさえすればよいのです。

これらの手順で各アカウントが安全であることを確認し、データ漏洩にも注意していれば、3カ月ごとにパスワードを変更する必要はありません。適切なセキュリティ対策を心がけましょう。

世界共通の「絶対NGなパスワード」リスト&安全なパスワードをつくるコツや対策おさらい | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2411-the-weakest-passwords-people-often-use/

これやっちゃだめ。ChatGPTで強力なパスワードを生成するメリットと注意点 | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2412chatgpt-is-surprisingly-useful-as-a-password-generator/

危険なサイトから子どもを守る。ルーターの隠れた便利機能「ペアレンタルコントロール」設定手順 | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2502-how-to-access-your-routers-hidden-parental-controls/

Source: PCMag(1, 2), Bitwarden