先日、「データで見る日本」というテーマでテレビ番組が放送されました。その中で、以前にも取り上げました、よく使われているパスワードの例が示され、そのパスワードを使うことの注意喚起が成されました。誰でも思い浮かぶ、「123456」や「password」といった数字や言葉、それにキーボードの配列からの「qwerty」等です。これらは数十年も前から言われていることであり、上位20位ぐらいまでは例年ほとんど変わりません。現在では、いくらパソコンやネットワークに関して無知と言っても、パスワードに関して注意が成されており、特に銀行、証券等の金融関係やＡＭＡＺＯＮや楽天等のネットモール、それに深刻な個人情報を扱うサービスにおいては、簡単なパスワードを設定しようとすると注意喚起されたり、設定できないようになっていることも少なくありません。それでもなお、上記のようなパスワードが広く利用されている結果となっている理由は、利用者が故意に簡単なパスワードを付けているサービスが多いことと、そのサービスを行う事業者はパスワードを漏洩することが多いからです。そのサービスとは利用者にとって重要ではなく、個人情報も晒す必要がないサービスです。事業者側としては、利用者を厳密に識別したいことからＩＤ（識別子）とパスワードを設定しているのです。ゆえに利用者はＩＤやパスワードの漏えい以上に使いやすさを優先し、サービス側も厳格な安全性、つまり利用者のＩＤとパスワードの漏えいに十分な対策を取らないことから、結果として上記のような安易なパスワードが上位に並んでいるのです。

これは公表されている調査結果ではありませんが、守るべき資産や個人情報に関係するようなサービスに対して、危険なパスワード、つまり上記に加えて実際に使われている場合も少なくないパスワードは、これも以前から言われていることですが、個人情報に関わるフレーズ（語彙）である、「（身近な親類や推しの）人物名」、「（誕生日等の）日付け」、「（住所等の）地名」です。これらは単独では当然、それらの組み合わせでも使うべきではありません。英語の辞書に載っている単語だけを利用するのも厳禁です。従来から言われていることですが、12文字であるとすると、できるだけ意味のない大文字小文字を混ぜた5～6文字のアルファベット、1，2文字の記号、6桁程度のランダムな、つまり連続したり、同じ数字の繰り返しや誕生日や住所等の番地でない数字で組み合わせればよいでしょう。8文字であれば、大文字小文字、そして英数字を混ぜた6あるいは7文字と、１あるいは2文字程度の記号を加えればよいでしょう。記号が使えないサービスも存在しますので、その場合は安全性はかなり低くなりますが、意味のない文字列で、大文字小文字数字を混ぜるべきです。

文頭で取り上げたテレビ番組ではパスワードに関して定期変更は必要ないと紹介してました。アメリカの科学技術分野に関わるＮＩＳＴという米国立標準技術研究所や日本の総務省もパスワードの定期変更を薦めていません。しかし銀行等では今でも3カ月毎等、定期的なパスワード変更を要求してします。なぜでしょうか。これは無条件に「定期変更が必要ない」ということではないからです。

「定期変更が必要ない」ためには下記の4つの条件が必要です。

1. 元々のパスワードが強固であること、そして他人に漏らさないこと。つまり上記で例示したように第三者に類推されないパスワードであることが条件です。
2. パスワードの使いまわしをしない、つまり他のサービスと同じパスワードとしない
3. サーバ側で保存されているパスワード、あるいその「ハッシュ値」と呼ばれるパスワードを照合するための符合（割符のようなもの）が漏えいしないこと。
4. サーバ側でのパスワード入力回数制限、つまり誤ったパスワードを有限回（通常、4または5回）入力した場合、一定時間、あるいはサーバ側が改めて許可しない限り、ログインを不可とする。

１と２は定期変更に関係なく、パスワードの必須条件です。これを守らなければ定期変更をしても無駄になります。むしろ、定期的な変更を強く求めることによって、より簡単なパスワード、もしくは前のパスワードと関連性の強いパスワードにしてしまう傾向があるからです。

銀行等で今でも定期変更を要求する理由は、３のハッシュ値の漏えいが万が一にも起こった際を想定していることと、ユーザ側が不用意にパスワードを漏らす可能性があるからです。したがってパスワード管理の常識である上の１と２を守れば定期変更は必要ないのです。