以前パスワードの定期更新に関する議論が沸き起こり、パスワードの定期更新は”不要”と言うのが現代の新常識となっている。
ただ、これには前提条件があり、十分な長さと複雑性を兼ね備えたパスワードである必要がある。
更に具体的に言うと、英大文字小文字+数字+記号 26 種= 88 種類の文字を使い、10 桁のパスワードを作ったとすると、その組み合わせは約 2785 京個(京は兆の上の単位)、1 秒 5 回の制限で「総当たり攻撃」をした場合、全部を試すまでに約 1760 億年かかる。
これならば、100 年以内に探り当てられる確率は非常に小さく、事実上不可能といえるので、パスワードの定期更新は不要という理屈になっている。
上記はNISC(内閣サイバーセキュリティセンター)が提供しているガイドブックの53ページ~56ページあたり参照するのが良いと思う。
https://www.nisc.go.jp/security-site/files/handbook-all.pdf
上記に関連して時代遅れになりつつあるルールがある
■時代遅れルール:パスワードを書き留めるべからず
当然これも前提がある。
誰でも見ることができるPCの近くにパスワードを書いたメモを置いておくことが最悪な行為であることは変わりない。
しかし、現在は様々なオンラインサービスがあり、それらすべてのサービスで共通のパスワードを使うことは、最悪の行為である。
一方で利用するサービスの数だけパスワードを生成して覚えるというのも無理な話である。
そこで推奨されるのは、「パスワードブック」を1冊購入してパスワードを記録し、自宅で鍵をかけて保管しておくのがいい(らしい)
そこで、私がパスワードの新ルールを提案したい
■新パスワードルール1:パスワードは英大文字小文字+数字+記号で10桁以上にする。
■新パスワードルール2:パスワードは使いまわさない(サービス毎に異なるものにする)
新パスワードルール2を徹底すると、情報漏洩が起きた時、どのサイトの情報が漏洩したのか、知ることができるケースもあります。
【参考】
https://japan.cnet.com/article/35150759/