「パスワードは定期的に変更する必要なし」→パスワード変更はかえってパターンを読まれます。

インターネットのパスワード設定を“定期的に変更”すべきかどうかについて、総務省が方針を「定期的に変更すべき」から「定期的な変更は不要」へと転換したことが、日本経済新聞Web版の記事をきっかけに注目を集めています。総務省サイバーセキュリティ課に確認したところ事実で、公式サイトでは2017年11月から「定期的な変更は不要」という文言を掲載していたと説明しました。

総務省ではネットを安全に利用するための情報を発信する「国民のための情報セキュリティサイト」を運営しており、企業や団体からネットセキュリティの参考にされてきました。以前は「設定と管理のあり方」項目において、「安全なパスワードを作成し、パスワードの保管方法も徹底したとしても、同一のパスワードを長期間使い続けることは避けなければなりません。定期的にパスワードを変更するようにしましょう」と呼び掛けていました。

しかし2017年秋には「定期的な変更は不要」の文言を追記。「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません」「むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります」と、定期的に変更する方がかえって問題になる可能性を示唆しています。

方針を変えた理由についてサイバーセキュリティ課は、内閣サイバーセキュリティセンター（NISC）がパスワードの定期変更について同様の趣旨を示していたのを受けて対応したと説明しました。

Twitterでは「変更する必要なんてなかったんだ」「手間が省ける」「浸透してほしい」と総務省の方針を歓迎する声があがっています。一方で「やっと変わったのか」「組織に広がるまではまだ時間がかかりそう」と実際に企業のセキュリティに方針が反映されるには時間がかかるとの意見も散見されます。

引用元: https://headlines.yahoo.co.jp/hl?a=20180327-00000095-it_nlab-sci

みんなのコメント

Xyz….

どうだかな？
いざ、ことが起きた時、
「変えておけば良かった」はあっても
「変えなければ良かった」はあるかな？
パターン化が問題だというなら、それさえクリアしておけば定期的変更の方針はまだ続けた方がいい気がするんだが。

通りすがりの一般市民

パスワードの管理なんてしてません。
その時の思いつきで決めているので、判らなくなれば再発行。
これが一番、結果、サイト側でランダムなパスワードを勝手に決めてくれる。
自分で定期的に変更するよりも、ランダムでユニークなパスワードになるので、個人情報からの推測すら無理。

人生”番外地

パスに迷ったら寿限無にしとけ。解読するのにスパコンでも1000年かかるぞ！！

名無しさん

コピペ出来ない入力にしてるのもやめてほしい
そんなに覚えやすいパスにさせたいんだろうか

名無しさん

変更しようがしまいが、破られるときはあっさり破られるからね。

名無しさん

そんなことより放送法の見直しを！
NHK受信料廃止或いは視聴する世帯だけが支払う仕組みを法改正を含め政府は早急に対応すべき。70年前のNHKしか局がない時代にできた法律で現在の日本、生活環境には全く沿ぐわないのは明白。見たくない人からも強制的に金銭を徴収しようとする姿勢は個人の尊重、自由を主体とする基本的人権の侵害にほかならない！政治家や関係機関は何故ここに言及しないのか？先の裁判ではその直前に何大臣？が最高裁に対し放送法は合法である旨を直々に伝えたといった話があったが、それこそ今大きな問題になっている談合そのもの！今回の裁判が出来レースだったということは言わずもかな。天下り先なのか、それこそ何か金銭のやり取り、賄賂？があるのか今の体制で政府関係者に何らかのメリットがあるから変えたくないのではないか？と誰もが思うだろう。おかしいものはおかしいとして改善を求む！

名無しさん

ようやく分かったか。
現場レベルでは、そんなこと分かりきっていたけど今更気がつくなんて遅過ぎる。

名無しさん

会社のパソコンのパスワードなんか、ひと月くらいで変えるように設定されてたが、完全にパターン化してて、本当に意味がなかった。
まずイントラネットに何十もパスかけて、それが食堂からのお知らせみたいなショボいのばかりだったら、そこまでして見る奴いるのか不思議だったが。

名無しさん

銀行口座は、端末が表示するパスコードを利用するのがいいでしょう。証券口座は、指定の口座にしか送金できないし、その変更は、登録住所への郵便物での返信でしかできないから、それでいい。で、端末なんだけど、現状では、採用している銀行が個別に発行している。これを総務省がリーダーシップを発揮して、改善すべきでしょう。例えば、全国銀行協会が発行し、管理するとかで、加入する銀行が同じ端末を利用できるようにする。各行は、独自のIDとPWでログインするので、端末が同一でも問題ないはずだ。同様にマイナンバーの登録も、銀行と証券でそれぞれ、その協会に個人が登録し、自分の口座には、協会の登録情報を参照するパスコードとマイナンバーをネットとか電話で教えるだけで、各行、登録完了とすべきだ。全部個別にやっているのは、全く無駄。外資でも一切残業なんてしなかった僕の仕事の効率は、この種の方法で上げていたからだ。

寿司職人A’

パソコンやタブレットの前で「俺だ」って言うだけでログインできる仕組みはいつ一般的になるかなぁ。
あ、でも生体認証は死んだときに遺族が困るかぁ？！

名無しさん

昨年このニュースが流れたのでパスワードの定期変更は止めました。
ただし強制的にパスワードの変更させられるシステムは仕方なく変更しました。

epjr63

もう、IDとパスワード。トークンに第3暗号カード・・・
流出を恐れるものだけ最初に複雑に作成して変更なし。
会員登録程度のは、諦めて使い回してるね。
今後は個人でも、指紋、静脈、声紋、網膜、顔といくつか
組み合わせた生体での認証が定番になるんでしょうね。

名無しさん

早く生体認証が一般化しますように。

cooos

そもそも定期的にパスワード変更する方は
そんなにいないと思いますけど

名無しさん

セキュリティソフトを常駐させているのに英数字、記号、使い回ししていない12桁の長期間使用のPWですら不正ログインされたこともあるし、PW変更する必要がないというのも当てにならないと思うが？

クイズタイム小学生

結局、毎回「パスワードをわすれました」ボタンを押してメール再設定。

makoto

会社のコピー機がコピーやプリントアウトするのにパスワード求めてくる。
しかも英数大文字小文字混ぜて、定期的な変更が必要なんだけど、たかがコピー機にそんなにセキュリティが大事なのが判らない。
逆に銀行のキャッシュカードは未だに数字4桁。
恐らく、他人に判別しにくい英数大文字小文字とかのパスワードだと、ATMに長蛇の列が出来るからだと思うけど、セキュリティ面とは関係なく、そういう事情でパスワードは決められている。
パスワードはセキュリティの大事さに応じて難易度が変わるようにしてもらいたいね。

名無し

意外と簡単なパスワードを使用してる方が多いですね
例えば123とか
私も一度第三者に悪用された事があります
その時のパスワードはありふれた単語で、
うかつでした
自分のメアドでウイルスばらまかれたら悲惨です

名無しさん

管理者から定期的に配布されるケースではいいんじゃない？
物理的に唯一無二なカードのようなもので認証するとか。
世の中ポイントカードだらけなのだから、
1枚増えても問題ないでしょう。
これならパスワード管理から少しは解放される。カード紛失時の為のパスワードとかは必要だけどね。

名無しさん

ピッチングウェッジだと思った(笑)

名無しさん

そもそも破れないセキュリティーなんて無い。その事は米国のペンタゴンは軍などハッキングされている事から理解できる。だから定期的に変えてもハッカーからすれば何の意味もない。

名無しさん

高齢者はキャッシュカードの暗証番号を忘れてしまう現状では当たり前の対応。各種のパスワードやＩD管理は煩雑、更にマイナンバー制度の導入で国民には負担が増えてメリットは無い。日本年金機構みたいなズサン管理で個人情報の漏洩リスクが増えただけ。総務省はリスク分散の為、マイナンバーカードの作成は任意に方針転換をすること。

名無しさん

で、結局どーしたらいいんです？

名無しさん

パスワードは共通にしなければ、被害は最小になります。
定期変更よりも重要です。

百舌鳥

それでも三カ月毎更新ポリシーの我が社。。。

名無しさん

管理が面倒なんだよなぁ。まあしょうがないけど。

名無しさん

磁気カード、指紋認証、顔認証等にすればいいのだろうか?
指紋は身近でいいと思う。

名無しさん

コレ・・定期的に要求されて面倒なんだよね。
アレコレ考えて出した結論は、カード等は持たないが一番。
おカネは現金で手元に置き、デジタル化しない・・コレが無用な対策を可能な限り抑える一番の対処法。
変にデジタル化するから妙な心配等しなきゃならなくなる。
現金方式で今のところ困ったことはないが、ネットで通販利用時に少し手間がかかるくらいかな？

名無しさん

パスワードは無作為な英数の羅列で有れば殆んど問題無い。
結局はサーバー自体をハッキングされてしまえばパスワードなども含めてアカウント上に登録済みの情報は丸裸同然。
定期的なパスワード変更など無駄、流出等が有った所のみ変えれば良い、総務省等の官公庁・各省庁など机上の理論でさも有りなんの無駄情報垂れ流しは止めて貰いたい。
今回の件でも責任取る奴居ないだろう、そもそも犯罪以外で責任取らないのがお役所って事だ。

名無しさん

変更しないよりは、した方が安全だと思う

日本太郎

嫁のスマホの暗証番号が結婚記念日で
ちょっと　嬉しかったです。

名無しさん

IPAやセキュリティー関連企業の情報サイトでも「定期的に変更」なんて言ってないしむしろ弊害の話題は過去に何度もでてるよね。
なので「なんかいまさら」という感じ。
とりあえずこれ貼っときます(*´ω｀*)
パスワード－もっと強くキミを守りたい－：IPA情報処理推進機構
www.ipa.go.jp/security/keihatsu/munekyun-pw/index.html

Mass

二年に一度は変えているけど、
流出より忘れて困るケースの方がずっと多い……。

名無しさん

何でもかんでもPWPWって面倒くせぇわ

名無しさん

どれだけ多重化してもガードの甘い奴は自分からアカウントを晒すような操作をしちゃうから無意味。

名無しさん

典型的なO型なんで、基本適当です(笑)
PWも当然変更したことはなく、一部を除いて全て同じPWです。
何も困ったことない。

名無しさん

yahooで流出した時だけパスワード変えた。他はずっと変えてない。
和歌や俳句を元にIDとパスワード作ってる。lastpassの評価では強いよ。

kometora

20年近く同じパスワードを使い続けていますが、被害にあったことはありません。

名無しさん

パスワードが多過ぎて覚えられないので、キャッシュカードにパスワードを書いているお年寄りがいた。若くても数十個もあるパスワードを覚えていることは難しく、３ヶ月おきに新しいパスワードに変えたら忘れてしまうよ。

吉川洋司

今の政府関係の言う事は信用しない方がいい・・・
逆に国が管理、管轄してるサイバー関係が国民のパスワードを
すでに把握している為か、変えないようにと印象操作も感じる・・・

名無しさん

こんなの普通に考えれば当たり前。泥棒に1度も入られたことのない家の鍵を頻繁に変える人間なんていないです。

名無しさん

パスワードのとき見えないから間違うこともあるよね
選べるようになってるサイトは親切だと思う

名無しさん

こんなの、１０年以上前から言われてる
今更の話をするとか
ねとらぼって本当に無知しか居ないんだな

名無しさん

定期的に変更する必要なしと言うか、変更することは不可能。定期的にって言っても、日々の忙しさで変更すること自体を忘れちゃうし、そんなにコロコロ変えてたら、間違いなくパスワードがなんだったか忘れちゃう。忘れないようにと、目立つところにメモに書いて貼ってたりしてたら、意味ないんだろうし。

名無しさん

これ数年前から某セキュリティコンサルがいってた。

名無しさん

PWは基本PW+法則ですよ。
基本パスを2つに法則でどのサイトも違うけど忘れることはないPWができると。

link-link

声を大にして宣伝してほしい。
能無し情報システムが毎月パスワード変更求めてくる。
同じものは使えないかネタが切れてきた。
早く生体認証程度は導入してほしい。

名無しさん

＞公式サイトでは2017年11月から「定期的な変更は不要」という文言を掲載していた
4ヶ月も経ってようやく話題に？
発信の仕方は適切か？
メディアの役割って何なん？
そもそも強制されないかぎりパスワード変更なんかしていないから大勢に影響はないけど。

名無しさん

色んなサイトでPW変更を求められ、もうウンザリしていました。しかし、今までは何だったんだ！

名無しさん

トークンを使っての毎回パスワードが変わるタイプのものでない限りは、数字、アルファベットを織り交ぜたものに固定するのが安全。
被害に合うまでパスワードの変更の必要なしといっても、被害にあってからでは遅い。
要は、顧客情報等の流出によってのピンポイントで狙ったハッキングに対してカウンター的な変更が必要と。
ネットが深化、便利になるにつれ、リアルの方との繋がりが重要になっていくのでは？
今後益々、生体認証が重要になっていくでしょうね。
髪の毛1本以下など極少のサンプルで、なおかつ数秒でDNAで個人認証できるようになればいいのですが･･･