とあるASPの管理画面に久しぶりにログインしようとしたらこんな画面が出ました。
見ての通りですが、要約すれば「一定期間、同じパスワードが使われ続けているので、別のものに変更せよ」とのことです。スキップすることはできず、新しいパスワードの設定が強制されます(新しいパスワードを設定しなければ次の画面に行けない)。
未だにこんなことをやっているところがあるんですね。
総務省の「国民のためのサイバーセキュリティサイト」では、次のように「パスワードの定期的な変更は不要」とされています(赤下線は筆者)。
パスワードが流出したのでなければ変える必要はないということです(逆に、流出したのなら直ちに変えるべき)。パスワードの流出なんていつ起きるかわかりませんから、定期的に変えることは何の意味もないですよね。強いて言うなら、流出しても(運営者が)それに気づかない場合は変えることに意味があるかもしれません。とはいえ、流出後直ちに変えなければ、それまでの間は危ないですから、「定期的な変更」で安全性が確保できるわけでもないと思います。
ユーザに面倒なことを強いるのではなく、運営者がしっかりしたセキュリティ対策を行うべきではないでしょうか?流出した場合の速やかな検知も含めて。
上で引用した総務省の「国民のためのサイバーセキュリティサイト」の「安全なパスワードの設定・管理」のページはこちらです。
また、そこで引用されている「内閣サイバーセキュリティセンター」の「インターネットの安全・安心ハンドブック」はこちら。
かなりボリュームがあるので全部読むのは大変ですが、抜粋版もありますのでそちらだけでも。
二要素認証に関してもSMSを使うものは海外でなりすましの実績があるので危ないなどという話もあり、驚きました。パスワードの管理に関しては「紙に書いて大切に保存」がもっとも安全なようです。しかし、利便性は…。難しいところです。