パスワードは変更するな？「定期的に変更」するのが危険な理由

サイトが攻撃されるなどして、ID・パスワードが漏えいする事件が最近多いですよね。

自分のパスワードが漏れた時の対策として、パスワードを定期的に変更しましょうということが良く言われているのを聞いたことがあると思います。

でも、最近ではこの定期的なパスワード変更は逆に危険だという主張もあります。

パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている | まるおかディジタル株式会社
アカウントの保護 https://support.google.com/accounts/answer/46526 …

理由としては、パスワードを入力する頻度が増えることで、結果的に攻撃者にパスワードが推測される可能性が高くなるからです。

例えば、パスワード変更の際には、

という二回もパスワードを入力する機会があり、しかもそれを変更する際、何らかのルールがあった場合に、パスワードを生成するルールが見破られやすくなってしまうという主張ですね。

これにはある程度同意できますが、変更前と変更後のパスワード入力した情報や変更履歴をどうやって入手するのかというハードルがあるのも確かなので、一概に定期的に変更するのが危険とも言い切れないとは思います。

個人的に、一番危険だと感じるのはパスワードの使い回しです。

色々なサイトでパスワードを入力する機会がありますので、しかもそれらのサイトのうちどこかで必ず情報漏えいは起きます。これはもう必ずと言っていいレベルです。

ですので、どこかで漏れた自分のID・パスワードを使って、他のサービスへのログインを試されるのは普通にあります（リスト型攻撃と言われます）

なので、定期的に変更するというよりも、すべてのサイトのパスワードをできる限り別のものにすることが自分の身を守る一番良い方法だと思います。

でも、そんなの覚えてられないと思いますので、今はパスワード管理ソフト、サービスを使って管理するのが良いと思います。

クラウド上でパスワード管理するものとしては、個人的にはLastpassがおすすめです。

Lastpass
https://lastpass.com/ja/

有料版を購入すると、iPhoneアプリとも同期できて、とても便利です。

ただ、たまに攻撃を受けたりしてるので、その情報を素早くキャッチして、マスターパスワードを変更する必要はありますけどｗ

パスワードは漏れるのが前提で、ちゃんと管理していきましょう。