- Bluesky ページを見る (新しいタブで開きます)
- Instagramページを見る(新しいタブで開きます)
- Facebookページで見る(新しいタブで開きます)
- YouTubeページを見る(新しいタブで開きます)
- Twitterページを見る(新しいタブで開きます)
- コピーしました
クレジット: デビッド・マーフィー
目次
強力なパスワードとはどのようなものでしょうか?長く、数字、記号、大文字小文字の英字など、様々な文字をランダムに組み合わせたもので、理想的には二次認証方式で裏付けられているものです。つまり、パスワードを覚えやすいほど、(一般的に言えば)他人が解読しやすくなります。
パスワードを作成したことがある人なら誰でもこれは常識でしょうし、優れたパスワードを生成、保存、そして思い出すためのツールも数多く存在します。しかし、このプロセスには、あまり意識されていないかもしれない小さな注意点が1つあります。それは、パスワードはどのくらいの頻度で変更すべきかということです。
職場で、パスワードを(再び)変更しなければならないという迷惑な通知やメールを受け取った経験は、おそらく誰しもあるでしょう。特に複数のアプリやデバイスでパスワードを更新しなければならない場合は、面倒な作業になりかねません。
結局のところ、このプロセス全体は実質的に不要です。そもそも強力なパスワードを設定している限り、パスワードの存在がパスワードの強度を低下させることはありません。MicrosoftがWindows 10およびWindows Server 2019の基本セキュリティ設定からパスワードの有効期限ポリシーを削除した理由を詳しく説明したブログ記事で、Microsoftの「Windowsオタク」でありセキュリティ専門家でもあるアーロン・マルゴシス氏は次のように述べています。
パスワードの定期的な有効期限切れは、パスワード(またはハッシュ)が有効期間中に盗まれ、権限のない第三者によって使用される可能性に対する防御策に過ぎません。パスワードが盗まれることがない場合は、有効期限を延長する必要はありません。また、パスワードが盗まれたという証拠がある場合、有効期限が切れるまで待つのではなく、すぐに行動を起こすはずです。
パスワードが盗まれる可能性が確実だとしたら、盗まれたパスワードを窃盗犯が使い続けるのに許容できる期間はどれくらいでしょうか? Windowsのデフォルトは42日間です。途方もなく長い期間だと思いませんか? 確かにそうですが、現在の基準では60日間、以前は90日間としていました。頻繁に有効期限を強制すると、それなりの問題が発生するからです。パスワードが盗まれる可能性が確実でなければ、何のメリットもなく問題を抱えることになります。さらに、駐車場でパスワードと引き換えにキャンディーバーをくれるようなユーザーであれば、パスワードの有効期限ポリシーを設定しても意味がありません。
[...]
定期的なパスワードの有効期限設定は、非常に価値の低い、古くて時代遅れの緩和策であり、ベースラインで特定の値を強制する価値はないと考えています。特定の値や有効期限なしを推奨するのではなく、ベースラインから除外することで、組織はガイダンスに反することなく、自らのニーズに最適なものを選択できます。同時に、ベースラインでは明示できないとしても、追加の保護対策を強く推奨していることを改めて強調しておきます。
私は1Passwordの熱心なユーザーで、とても気に入っています。このアプリは、使用しているパスワードが安全でない、あるいは何らかの形で漏洩している可能性がある場合に、ユーザーに通知するために多大な努力を払ってくれます。Microsoftの提案通り、このアプリは、使用しているパスワードがx日(またはx年前)前のものだからといって、ユーザーを困らせるようなことはありません。
クレジット: デビッド・マーフィー
とはいえ、パスワードを変更することには、強制的に変更されるか、自分で変更するかに関わらず、重要な理由が一つあります。もしあなたが、使用しているパスワードが漏洩していないか確認しないタイプの人であれば、定期的に新しいパスワードを作成することは、少なくとも、公開されている可能性のある弱いパスワードに対処するための良い万能策となります。
そこで、別の提案をさせていただきます。パスワードを決まったスケジュールに従って変更するのではなく、パスワードをアップグレードしましょう。パスワードを完璧に作成できる方であれば、おそらくこの手順は不要でしょう。しかし、私のように普通の方で、新しいサービスを試す際に、パスワードマネージャーを開いて22文字の怪物を呼び出すのが面倒で、弱いパスワードを使っていることがある方は、パスワードを確認し、より安全なパスワードにアップグレードする時間をスケジュールに入れるべきです。
これまでのところどう思いますか?
パスワードマネージャーを使っているなら、これはとても簡単です。保存したパスワードのリストをざっと見て、普通ではないものがあれば更新していくだけです。例えば、「cat12345」ではなく「1Jf*@4,f@a9!04#*5vka*4&5%」といった具合です。ただし、お気に入りのアプリやサービスで弱いパスワードを使っていないかどうかは、すでにかなり分かっているはずです。パスワードマネージャーを全く使っていないなら、その可能性はさらに高くなるでしょう。
脆弱なパスワードを大量に使っている場合、これは面倒な作業になりますが、戦略的に考えれば問題ありません。まずは最も頻繁に使用するアカウントから始めて、そこから徐々に減らしていくのが良いでしょう。(繰り返しますが、パスワード管理アプリを使えばこの作業は簡単になり、優れたアプリなら、特定のサービスで脆弱なパスワードを使用していることを検知すると、それを知らせてくれます。)
もちろん、どんなに優れたパスワードでも、強化すればさらに効果的です。可能な限り多要素認証を使用すれば、アカウントのセキュリティは格段に向上します。そして、この記事、またはMicrosoftのブログ記事を印刷して、今年8回目のパスワード変更を迫られた際にITチームに提出しましょう。
毎日のニュースレター すべてをより良くする準備はできていますか?
ジョーダン・カルフーン 編集長
Jordan とチームから毎日のヒント、コツ、技術ガイドを入手してください。
毎日のニュースレター すべてをより良くする準備はできていますか? Jordan とチームからのヒント、コツ、技術ガイドを毎日お届けします。
次の記事へスクロールしてください
