パスワードの定期的変更は不要 by 総務省

10年以上変えていないパスワードが
ありますが、問題ありません。

漏れてしまえば、即変えないと
行けないので、

定期的に変える必要は無いと思って
ましたが、やはりそのようですね😅

> ghさん
相当緩いパスワード※以外は、情報漏洩がなければ、変える必要はないでしょうね。

2017年最悪のパスワード100
https://www.google.co.jp/amp/s/gigazine.net/amp/20171220-worst-password-2017

> swift707さん
私も、そう思います。

> マイネ神さん
確実に忘れるので、パスワードはツールを使って管理しています。

スタッフブログ
https://king.mineo.jp/magazines/special/783
で紹介されている「1Password」や私がiPhoneで使っている「OneSafe」を上手く使って、私はパスワードを管理しています。
最近のパスワード管理アプリは、文字・記号・数字と文字数を指定すると、勝手に生成してくれるのがいいですね。パスワードのネタに困ったときはこの機能を使っています。

一応、すべてに全部違うパスワードで設定していますが、最近は脳みそのキャパが少ないのかわかりませんがパスワード再発行を2回ほど行いました...σ(^_^;)

強度の大きいパスワードを設定する事と、使い回ししない事が大切ですね。
ただ、使っているサービスのユーザ情報(パスワード)が漏れた時は迅速に変更が必要ですね。でも、パスワードを生で管理(保管)しているのは問題だけど。。。。普通は、一方向関数を使って変換したものを保管すると思うけど。。。。

私も銀行や証券会社などからのしつこい変更要求に耐えかねて以前は変えていたことがありますが、最近はほとんど変えません。マネールックの登録だけで１００を軽く超えていますし、もちろんそれ以外もありますから、そんなものを逐一変えていたらそれだけで何日もかかってしまいます。ログインが比較的簡単な銀行のものをたまに変える程度です。
パスワードもエクセルでデータを作成できるようにしていて、それぞれで異なる入力可能な文字や数字に合わせてパソコンで乱数を使って完全に無作為に生成しているので、私自身もとても分かりにくいものになっています。
参照先には書いていないようですが、以前にも銀行などのパスワードの場合は盗まれた場合は盗んだ側はすぐに使うので、定期的に変更しても意味がないという情報があったように思います。

先日、マイナンバーカードを受取りに市役所に行ったら、証明書用パスワードをPCで設定してくださいとのこと。英字は大文字のみで、数字入れて6桁以上とのこと。セキュリティレベルは「低」ですね、、、。（^O^）

サービスごとにパスワード設定してるから、どれがどれやら訳わからなくなった所に更に仕事で使うパスワード(@_@)
何個覚えとけばいいんですかねぇ(ﾟ∀ﾟ)

> wzjmさん
パスワード再発行は、たまにやってしまいます。ツールに登録し忘れてしまうことがあるし、登録してあっても、思い出せなかったり、外出していてツールが見られないときにはパスワードの再発行です。
ちなみにツールは「ID Manager」を使っています。


> ひみつ77さん
≫強度の大きいパスワードを設定する事と、使い回ししない事が大切
おっしゃるとおりです。

今サービスを提供しているサイトで、生パスワードを保存しているなんてことはないと思いますが、あったら相当ヤバイです。ただ、ハッシュ化しているとはいえ、大量に漏洩すると特定される恐れがあるので面倒ですね。


> ダータンスヒルビリーさん
マネールック、私も使っています、便利ですよね。それにしても、登録数100は多いですよね。

人は異なるサービスでも同一の ID を使うことが多い（Twitter と Instagram とか）ので、どこかのサイトで ID とパスワードが盗まれると、以前に流出していたデータがあった場合、突き合わせで特定されることがありますね。


> マーママー
英大文字と数字を合わせて６桁ですか、強度は低いですね。ただ、どういった場面で設定したものかによって、求められる強度は変わるで絶対ダメな設定というわけではありません。
Win10 の PIN コードなんかは、数字４桁だったりしますが、自分が所有している Win10 の PC という条件があるので、この程度で OK なわけです。


> もこでびるさん
なんかで管理しないと覚えきれないです。あとは、ハードキーとか生体認証で、覚えていなくても大丈夫な鍵を持つかですね。

パスワードを定期的に変えていると、最終的に覚えやすい簡素なパスワードになってしまい、かえってセキュリティ強度が低くなるんですよね。

他にも、かつて言われていた「tiWl4k」みたいな意味をなさない文字を並べた、文字数の短いパスワードよりも
「dictionarystandardassociationbefore」みたいに３〜４ワードを組み合わせた、入力しやすく、かつ文字数の長いパスワードを使うほうが強度が高いというのが、今の考え方です。

せっかく強度が高いパス作ったのに定期的に変更させたらその手続き(ユーザ側の覚え直しやバックアップ方法含め)でトラブルを起こしかねないし、そもそも多くのユーザは毎回真面目にパスを作る気が失せたり使い回しや規則性が類推されやすくなったりとあんまりメリット無いですからね。
ガチの機密用途で、管理自体に十分なコストをかけられるような用途以外は頻繁な強制変更は却ってマイナスという事で、むしろ指針変更は遅すぎるくらいかもしれません。

#パスワード自体賢いやり方なのかという話はこの際おいておきます

うちはパソコン教室では、任意の文言+サービス名称とかをおすすめしていますね。地域の方だとパスワード管理ツールとかはそもそもそのツールの使い方がわからない とかになってしまうので。

Googleかなにかがパスワードを不必要にする研究とかしてたような気がしますが、早くそうなってくれないかなあと思います。あまり詳しくない方はそれでも簡単なパスワードを設定しがちなもので…

> t_jobさん
短いフレーズを３個くらい繋げてパスワードにする方法は、もっと一般的になったらいいと思いますね。
変更を繰り返す弊害ですね。面倒くさいルールは守られなくなり、結局守られなくなりますから。

> gunnerさん
何回も変えていたら、混同したり、忘れたりしますよね。それでロックアウトされたら嫌になりますしね。

それと高い機密を求められるなら、パスワードのみの運用は厳しくないですか、ハードウェアキー、生体認証等と組み合わせるとかの方法になるんじゃないでしょうか。


> 高見知英さん
「任意の文言＋サービス」は、ツールを使わないでのパスワード作成・管理には、とてもいい方法ですね。