しかし、少し立ち止まって考えてみましょう。パスワードが推測可能であるべき理由はありません。ハッカーがパスワードを推測できるなら、それは悪いパスワードであり、そもそも使うべきではありませんでした。さらに一歩進んで、パスワードはコンピューターで解読されるべきではありません。少なくとも、それが重要な時期においては。

強力なパスワード、つまり強力かつ一意のパスワードは、本質的に解読不可能です。長く、多様で、他のアカウントで使用されていないものでなければなりません。あなたのアカウントを管理している企業が侵害されたとしても、このパスワードは他のアカウントのパスワードとは異なるため、問題にはなりません。Bitwardenのパスワードテスターのようなツールを使えば、様々なパスワードをコンピュータが解読するのにどれくらいの時間がかかるかを確認できます。「Lifehacker」は8秒で解読できますが、「Lifehackerdaughtcalm」は数世紀もかかります。

もしあなたのパスワードが強力でユニークで、理論上は人間の寿命よりも長く解読できるなら、3ヶ月後にパスワードを変更する必要はありません。1年後に変更する必要もありません。実際に脅威にさらされない限り、パスワードを永久に変更する必要はありません。

パスワードを変更するタイミング

パスワードを絶対に変更すべきではないと言っているわけではありません。他人に知られた場合は、必ず変更すべきです。よくあるのは、あなたのアカウントを保有する企業がデータ侵害を受けた場合です。例えば、AT&Tで大規模なデータ侵害が発生し、ユーザーの認証データがダークウェブに流出したとしましょう。その場合は、できるだけ早くパスワードを変更する必要があります。このような事態が発生した場合、おそらく企業はあなたにパスワードを変更するように指示するでしょうし、データ漏洩による不便さを埋め合わせるために、追加の特典を提供してくれるかもしれません。

もちろん、データ漏洩は、強力なパスワードが漏洩する唯一の機会ではありません。マルウェアも注意すべき脅威です。例えば、フィッシング詐欺に引っかかってコンピュータにマルウェアをダウンロードすると、重要なアカウントのパスワードが監視・盗まれる可能性があります。あるいは、アカウントを持っているウェブサイトの偽バージョンに誘導され、ユーザー名とパスワードを入力すると、あっという間にパスワードが侵害される可能性もあります。

このような場合、強力でユニークなパスワードが破綻しているため、パスワードを変更する時期です。ただし、特別な理由がない限り、わざわざ変更する必要はありません。

念のため言っておきますが、パスワードを変更してもセキュリティが損なわれるわけではありません。実際、会社や組織でパスワードの定期的な変更が求められている場合は、他に選択肢がないかもしれません。しかし、すべてのパスワードが強力で一意であり、かつ漏洩していない限り、パスワードを変更するのは手間がかかるだけで、実質的なメリットはありません。

時間を無駄にしないセキュリティのヒント

真のセキュリティ強化をお望みですか？強力で重複のないパスワードをすべて、安全なパスワードマネージャーに保存しましょう。そうすれば、覚えておくべき強力で重複のないパスワードは1つだけ、つまりパスワードマネージャーのマスターキーになります。さらに、可能な限り2要素認証（2FA）を使用してください。2FAでは、正しいパスワードを入力した後、信頼できるデバイスによる二次認証が必要になります。そうすれば、たとえ悪意のある人物があなたのパスワードを知っていたとしても、信頼できるデバイスにアクセスできなければ侵入することはできません。（SMS認証よりも認証アプリやセキュリティキーを優先してください。）

アカウントにパスキーが選択肢としてある場合は、パスワードではなくパスキーの利用も検討してみてください。パスキーは、パスワードの利便性と2FAのセキュリティを効果的に組み合わせたものです。信頼できるデバイス上でパスキーを生成し、そのキーをサイトへのサインイン時に使用します。そのため、パスワードを盗まれる心配はありません。デバイス上でFace IDやPINなどで認証すれば、すぐにログインできます。

これらの手順で各アカウントのセキュリティを確保し、データ漏洩に注意していれば、3ヶ月ごとにパスワードを変更することを心配する必要はありません。常に安全を心がけてください。

次の記事へスクロールしてください