パスワードって頻繁に変えた方が安全なの?

日付:

パスワードを定期的に変えろって、職場で言われたことない?私も会社で3ヶ月ごとに変更しろってアラートが来て、毎回面倒だった。でも最近セキュリティの専門家がこんなこと言ってるんだって。「頻繁に変えるのは逆にセキュリティに害があるかも」って。


アメリカの国立標準技術研究所(NIST)とか、イギリスの国家サイバーセキュリティセンター(NCSC)みたいな機関も「定期的にパスワード変更を強制するな」って推奨してる。なんで?


頻繁に変えると実はこんな問題が起こる


私が実際に経験したこと話すと、パスワードを頻繁に変えろって言われると、覚えやすく作っちゃうんだよね。password1からpassword2にしたり、末尾の数字を一つずつ増やしたり。


こういうパターンはハッカーが簡単に予測できるらしい。一度パスワードが流出したら、次のパスワードもすぐバレちゃうってこと。


複雑に作れって言われると今度は、覚えられなくてメモ帳に書いたり、ブラウザに保存したりするでしょ。これもセキュリティ的に危険。


実際私も複雑すぎて忘れちゃって、パスワード再設定を何回もやった。仕事中もログインでずっと時間無駄にしたし。


モニター画面の南京錠を中心に、シールド、地球、キー、ユーザープロフィール、目のアイコン、クラウドサービスなどのネットワークセキュリティ要素を組み合わせたモダンなベクターイラスト


じゃあいつ変えればいいの?


パスワードは定期的にじゃなくて、必要な時だけ変えればいい。


一つ目はパスワードが流出した時とか疑わしい時。最近ハッキングのニュース多いでしょ。そういうサイトに登録してたらすぐ変える。


二つ目はパスワードが簡単すぎるとか、いろんなところで同じの使ってる時。123456とかpasswordみたいなのは当然変えないと。


三つ目は他の人と共有した時。家族とか友達に教えちゃった後は変えた方がいい。


最後はネカフェとか公共のパソコンでログインした時も変えておくと安全。


こうすればもっと安全になる


パスワードを頻繁に変えるより大事なことがいくつかある。


各サイトで違うパスワードを使うこと。一つ破られても他のアカウントは安全だから。私はパスワード管理アプリを使って複雑なパスワードを自動で作って保存してる。ChromeとかSafariの内蔵機能でもいいし。


2段階認証は絶対設定して。SMSで来る認証番号とかGoogleの認証アプリとか。これがパスワードよりずっと効果的。


パスワードは複雑にするより長く作る方がいいって。「うちの犬は毎日散歩が大好き123」みたいに文章っぽく作ると覚えやすくて安全らしい。


パスワード管理ツールって本当に安全?


最初は私も疑ってた。全部のパスワードを一箇所にまとめるのって逆に危険じゃない?って思ってたから。でも使ってみたらめっちゃ楽で安全。


1PasswordとかLastPassみたいな有料サービスもあるし、ChromeとかiCloudキーチェーンみたいな無料のでも十分。私はGoogleアカウントのパスワード管理を使ってるけど、AndroidとChromeで自動同期されて便利。


パスワード管理ツールを使うとサイトごとに20文字以上の複雑なパスワードを作ってくれる。私は覚える必要もないし、ログイン時に自動入力される。


青い背景にノートパソコン、シールド、南京錠、ユーザーアイコン、WiFi信号、スマートフォン、虫眼鏡、歯車などのセキュリティ関連アイコンがネットワーク線で接続されているサイバーセキュリティのベクターイラスト


自分のパスワードが流出してるかチェックする方法


Have I Been Pwnedっていうサイトでメールアドレス入力すると、どのハッキング事件に含まれてるか分かる。私も何回か確認したけど、思ったより多くのサイトで情報流出してた。


GoogleとかAppleでも似たようなサービス提供してる。設定のセキュリティタブに入ると「データ流出モニタリング」みたいな機能がある。これオンにしておくと情報流出した時にアラートが来る。


FacebookとかLinkedInでは「ログインしたデバイス」一覧が確認できる。知らないデバイスとか場所からのログイン記録があったらすぐパスワード変更。


2段階認証の簡単な設定方法


SMS認証が一番簡単。NaverとかGoogle、Instagramとかで設定できる。ログイン時に携帯に来る6桁の数字を入力するだけ。


Google AuthenticatorとかAuthyみたいなアプリを使うともっと安全。ネット接続なしでもコードが生成される。最初の設定でQRコードをスキャンすれば、30秒ごとに新しい数字が出てくる。


銀行アプリで使う証明書とかKakaoPay的なのも2段階認証。慣れてる人はこういう方式の方が楽かも。


私は重要なアカウントは全部2段階認証設定した。最初は面倒だったけど、何回かやってるうちにすぐ慣れた。


「PASSWORD SECURITY」のタイトルと共に、ノートパソコンの南京錠、指紋認証、パスワード入力画面、認証コードなどを表現したアイソメトリックスタイルの3Dセキュリティイラスト


日常でできる小さなセキュリティ習慣


公共WiFiでは重要なログインしない。カフェとか地下鉄のWiFiは便利だけどセキュリティが弱い。どうしても使うならVPN使うか、携帯のデータを使う。


変なメールとか文字はすぐ削除。「アカウントがハックされたのでここでパスワード変更してください」みたいなリンクは絶対クリックしちゃダメ。直接そのサイトに入って確認する方が安全。


ソフトウェアアップデートも面倒だけどすぐやる。セキュリティパッチが含まれてるから。自動アップデートをオンにしておくのも手。


定期的に変えるのはやめて、こういう方法を試してみて。私はこれで随分楽になったし安全になった感じがする。みんなも一度やってみたらどう?


カフェのWi-Fi接続、本当に危険なの?安全にネットを使う方法