パスワードの定期変更は必要か——NISTが「定期変更不要」とした理由を解説
パスワードの定期変更が効果的でない理由をNIST SP 800-63Bの根拠とともに解説。本当に変更すべきタイミングと適切な変更頻度を紹介。
なぜ定期変更が「悪手」とされるようになったか
2017年にNIST(米国標準技術研究所)がSP 800-63Bを改訂し、定期的なパスワード変更の強制に対して明確にNoを言い始めたよ。翌年には英国のNCScも同様の立場を表明した。
その理由は人間の行動パターンにある。90日ごとの変更を強制されると、ユーザーは:
Tanaka2024Jan→Tanaka2024Apr→Tanaka2024Jul(予測可能な変更)- パスワードをポストイットに書く
- ブラウザに保存するが管理が甘い
このような行動が一般的で、変更前後のパスワードはセキュリティ的に大差ないか、むしろ悪化することが多いと分かったんだよ。
研究が示すデータ
Microsoftの研究(2019年)では定期変更を義務付けられた環境のパスワードを分析した結果、「前のパスワードの末尾に数字を足す」「季節や月名を入れる」「1〜2文字だけ変える」パターンが支配的で、強度の実質的な向上は見られなかったと報告しているよ。
本当に変更すべきタイミング
| タイミング | 優先度 |
|---|---|
| 利用サービスの漏洩が報告された | 最高(即日対応) |
| クレデンシャルスタッフィング攻撃を受けた疑い | 最高 |
| 使い回しが発覚した | 高 |
| 他人にパスワードを見せてしまった | 高 |
| 共有PCで入力した | 中 |
| パスワードマネージャーを導入した時 | 中(全体を一新する機会) |
| 理由のない定期変更 | 推奨しない |
変更が必要な時のやり方
悪い変更例:前のパスワードに「1」を追加する、季節を変える 良い変更例:生成ツールで全く新しいランダムパスワードを作り、パスワードマネージャーに保存する
変更は質が命だよ。毎月変えても毎回弱ければ意味がない。
まとめ
「定期変更不要」とは「永遠に変えなくていい」ではないよ。「理由のない変更は逆効果なので、漏洩・侵害・疑わしいアクセスを検知した時だけ変更する」という考え方への転換だね。パスワードマネージャーと2FAの組み合わせが、定期変更より何倍も効果的な対策だよ。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。