【大切なので２回目の復習】パスワードの定期更新が必要なケース

総務省などがパスワードを定期的に変更するのを推奨する理由が非常に残念な可能性

以前の記事で、パスワードを更新する必要があるのは特定のケースだけという話をしました

今話題になってる佐賀県の SEI-NETで数十万人分の個人情報が流出した件ですが、

・重要な管理者パスワードが多人数で共有されていた。
・パスワードがメモ帳などで開ける場所にハードコーディングされていた。
・簡単に記憶できるパスワードだった。
・不正ログインなどを把握していたにもかかわらず、３年間変更していなかった
（これも一部のシステムにハードコーディングされていたため、パスワードの変更自体が禁止されて
いた、という恐ろしい話もあります）

ここで、勘違いしてほしくないのは、『やっぱり、パスワードの定期更新が必要だった』ということではなく、
パスワードの定期更新が必要な特殊なケースがあるという話です。

一人の人間が使ってるパスワードを定期的に更新する場合
・パスワードを忘れやすい
・パスワードを覚えやすいものにしがちになる。
・変更時の処理で、フィッシングサイトなどに引っかかる機会が増える。

というデメリットがあります。

今回のケースは多人数でパスワードを共有しているので
・パスワードを忘れやすい → 共有してるので問題にならない。
・パスワードを覚えやすいものにしがちになる。 → パスワードは特定のものを強要するので問題にならない。
・変更時の処理で、フィッシングサイトなどに引っかかる機会が増える。 → パスワードは特定のものを強要するので問題にならない。

デメリットがなくなります！

また、定期的に更新しなかった場合、複数人で共有する場合

・パスワードの流出の機会が多い
・権利を失効した人などが、パスワードを覚えていることになる。

というデメリットがありますが

一人でパスワードを使用する場合は

・パスワードの流出の機会が多い→一人なので非常に機会は少ない
・権利を失効した人などが、パスワードを覚えていることになる。→一人なので問題にならない。

やっぱり、デメリットがなくなります！

|・ω・) 。o ( いかがでしょう？ 一人で扱うパスワードと共有パスワードが全く別の性質をもつものであることは分かったでしょうか？ )

「パスワードの定期変更はすべきでない」　米研究機関がセキュリティ対策関連の文書で明言 - ねとらぼ

複数の管理者のいる企業の管理パスワードなどもその一つですね！

・個人パスワードは、定期更新は原則必要ない
・共有パスワードは、必ず定期更新する。

以上！