パスワードの定期変更は不要だってヨ、オニーサン（総務省通知とGoogle Authenticator）

つい先ごろ総務省が「安全なパスワード」の運用方針を転換したとのニュースが話題になった。

なんでもNIST（米国国立標準技術研究所）ガイドラインの変更に伴い、「定期的なパスワード変更は不要どころか危険である」との方針転換に至ったそうな。
従来は「安全なパスワード運用＝定期的なパスワード変更」だったから、これは真反対な方針転換と言えるだろう。
加えてパスワード変更が必要になるのは「情報漏洩が発生したことが確認されたときのみ」とのことなので、だいぶ基準が緩和されることになる。

国民のための情報セキュリティサイト（総務省）
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html

かくいうわたしも、（管理者権限を預かっているという事情もあるが）職場では定期的なパスワード変更が要求されている。
けれども忙しさにかまけて、ついつい機械的にパスワードを変更していた。
いや、ホントはいけないんですよ、こういうの σ(^◇^;)
でも現実的な運用として、ひとりが何個もアカウントを預かっていて、パスワード忘れのペナルティが厳しいとなれば、こうなるのは自然な流れだと思う。

実際、エンドユーザーさんと話していても「今（パスワードを）メモるから待って」とか「おっかしいな、ここら辺に書いておいたハズなんだけど」とか、普通に言われる。
きっと画面脇に付箋紙が貼ってあったり、手帳に重要なパスワードを書き込んでいる人がゴロゴロいるに違いない。
そんな状況を鑑みるとパスワードの定期変更は危険だと常々思っていたので、今回の方針転換は非常に歓迎すべきことだ。

ただし。
方針が変わった言っても「安全なパスワード＝なるべく複雑なもの」という基準は変わらない。
間違っても「0000」とか「12345678」とか使ってはいけませんよ (笑)
それに「異なるサービス間でパスワードの使い回しは避ける」ことも併せて考えると、これはけっこう面倒だ。
まぁアカウント乗っ取り問題も他人ごととは言えず、ただ「面倒」の一言で片付けることもできない。
たとえばこのサイトのアカウントが乗っ取られて勝手にアレコレ更新されるようなことがあっては、わたしの名誉が危険にさらされてしまう（ないない。笑）

そうやって考えると「二段階認証（パスワード＋αの認証方式）」って、よく考えられたシステムだと思う。
わたしがプライベートで使っているのはGoogleの「Authenticator」ってアプリなんだけど、これだけでも気分的にだいぶ違いますよ。
＃iOS版はここから、Android版はここからダウンロードできます

セキュリティが気になる方、導入してみては如何だろう。


編集後記的なもの
なんだか真面目な話になってしまったな (笑)
明日は終業後に出かける予定があるので、縮小更新の予定でっす♪


--
bell（@bellstown21）follow ME!
いろんなこと書く人。比較的なんでも食べます (笑)
Twitterをフォローしていただければ更新時に呟きます