パスワードは数カ月ごとに変更した方が安全だと、長い間いわれてきました。
会社のシステムや会員サービスで、「90日ごとにパスワードを変更してください」と表示された経験がある人も多いでしょう。
ただ、現在のセキュリティ対策では、理由もなく定期的に変更する方法は必ずしも推奨されておらず、使い方によっては、頻繁に変更することでパスワードが弱くなり、かえって推測されやすくなることもあるんですよ。
では、パスワードを定期的に変えるのと、同じものを使い続けるのでは、どちらが危険なのでしょうか?
強いパスワードなら、定期変更は必要ない
まず前提として、次の条件を満たしているパスワードであれば、漏えいなどの問題がない限り、定期的に変更する必要性は高くありません。
- 十分に長い
- 他人に推測されにくい
- サービスごとに異なる
- 他のサイトで使い回していない
たとえば、パスワード管理アプリで生成した20文字程度のランダムな文字列を、サービスごとに別々に設定している場合などであれば、半年や1年ごとに変更しても、安全性が大きく向上するとは限りません。
重要なのは、何カ月使ったかではなく、そのパスワードが漏れているか、使い回されているか、簡単に推測できるかなんです。
定期変更でパスワードが弱くなる理由
そもそも定期変更が問題になるのは、人間が毎回まったく新しいパスワードを作るとは限らないから。
多くの場合、次のように一部分だけを変更することが多いようで、
Tokyo2025!
↓
Tokyo2026!
ほかにも、末尾の数字を1つ増やしたり、記号の位置を変えたり、季節や月の名前を入れ替えたりする変更がよく行われています。
もちろん、これは利用者にとっては覚えやすい方法ではあるのですが、攻撃者から見ても規則性があルコとから推測しやすい。
そもそも過去のパスワードが漏れていれば、次に使われるパスワードも予測しやすくなりますからね。
実際の研究でも、パスワード変更を求められた利用者は、完全に新しいものを作るのではなく、以前のパスワードを一部だけ変更する傾向が確認されているようで、いろんなサービスが定期変更を強制することで、強いパスワードが作られるのではなく、似たパスワードが連続して作られる場合が多いのだとか。
頻繁に変えるほど安全とは限らない
定期変更には、本来、盗まれたパスワードを使える期間を短くするという目的があり、仮にパスワードが盗まれても、90日ごとに変更していれば、攻撃者が利用できる期間を制限できるという考え方なんです。
しかし、実際にアカウントへ侵入された場合、攻撃者が何カ月も何もせず待っているとは限りませんし、ログインに成功した直後に、次のような操作を行う可能性があります。
- 回復用メールアドレスを変更する
- メールの自動転送を設定する
- 認証用トークンを取得する
- 多要素認証の設定を変更する
- 他のサービスへの侵入を試みる
この状態では、90日後にパスワードを変更しても無駄なことがあります。
漏えいが発生したときに必要なのは、次回の定期変更を待つことではなく、問題を検知した段階ですぐに変更すること。
公的機関も定期変更を推奨していない
米国国立標準技術研究所のNISTは、パスワードが侵害された証拠がない限り、定期的な変更を強制しない方針を示しています。
また、英国の国家サイバーセキュリティセンターも、定期的なパスワード変更を強制すると、利用者が弱く予測しやすいパスワードを設定する原因になると説明していて、Microsoftも、漏えいしていないパスワードを一律に期限切れにするより、漏えいを検知した時点で変更する方が重要だとしています。
そのため、現在でも残っている「90日ごとに変更」というルールは、最新のセキュリティ対策というより、以前からの社内規則や監査ルールがそのまま続いている場合があり、正直利用者からすれば手間暇がかかるだけだったりするんです。
そもそも現在、一人のユーザが1台の端末だけで完結するようなことはなく、大抵の場合複数の端末を利用しています。
流出の恐れのないのに、わざわざパスワードを変更させれても、各端末で同じように変更をかけなければならないので、余計な作業が増えるだけ。
変更しない方が危険なケースも
ただし、パスワードを変えなくてよいという話ではありませんよ。
次のような状態なら、定期変更を待たず、すぐに変更する必要があります。
- 同じパスワードを複数のサービスで使っている
- 短く単純なパスワードを使っている
- サービスから情報漏えいの通知が来た
- 不審なログイン履歴がある
- フィッシングサイトに入力した可能性がある
- マルウェア感染が疑われる
- 他人にパスワードを教えた
- パスワード管理機能から漏えい警告が出た
特に危険なのが、複数サービスでの使い回しで、1つのサービスからパスワードが漏れると、攻撃者は同じメールアドレスとパスワードの組み合わせを使って、ほかのサービスへのログインを試します。
この攻撃は「リスト型攻撃」や「クレデンシャルスタッフィング」と呼ばれ、漏えいしたサービスだけ変更しても、別のサイトで同じパスワードを使っていれば危険は残ってしまいます。
定期変更より優先すべき対策
パスワード対策では、変更頻度よりも運用方法の方が重要です。
まず、サービスごとに異なるパスワードを設定し、すべてを自分で覚える必要はなく、パスワード管理アプリを使えば、長いランダムな文字列を保存することができます。
さらに、多要素認証を有効にしておけば、パスワードが漏れても、それだけではログインされにくくなります。
対応しているサービスでは、パスワードを使わないパスキーも有効で、パスキーは、偽サイトへ認証情報を入力させる一般的なフィッシング攻撃にも強い仕組みになっています。
優先順位を整理すると、次のようになります。
- サービスごとに異なるパスワードを使う
- 長く推測されにくいパスワードにする
- パスワード管理アプリを使う
- 多要素認証やパスキーを有効にする
- 漏えいが確認されたらすぐに変更する
「何カ月ごとに変えたか」は、この後の話。
安全なパスワードをサービスごとに使い分けているなら、理由もなく頻繁に変更する必要はありません。
一方で、短いパスワードを複数サイトで使い回している場合は、同じものを長期間使い続ける方が危険です。
パスワードの安全性を決めるのは、変更回数ではありません。
漏えいしていないこと、使い回していないこと、推測されにくいこと。この3点の方が、定期変更よりはるかに重要です。
