パスワードは定期的に変更・・・する必要ありません。ファッ！？

パスワード変更しすぎて、自分がログインできなくなる。

あるあるだと思います。

コネマル（@conemaru_btc）です。

暗号通貨市場はいまだハッキング等が多く存在しており

セキュリティ対策は必須です。

個々人の対策として

パスワードの定期的な変更

2段階認証の設定

APIキーの制限

等が挙げられています。

しかし実は、総務省は

パスワードの定期的な変更は必要ない

と発表しています。

その根拠とは

総務省では、安全してインターネットを利用するために

「国民のための情報セキュリティサイト」

にて情報発信を行っています。

「設定と管理のあり方」のページにて、以前は下記の記載がありました。

安全なパスワードを作成し、パスワードの保管方法も徹底したとしても、同一のパスワードを長期間使い続けることは避けなければなりません。

 

定期的にパスワードを変更するようにしましょう。

しかしこの文言は現在、削除されています。

そして、「定期的な変更は不要」と記載されるようになりました。

パスワードを複数のサービスで使い回さない（定期的な変更は不要）

 

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、

実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。

 

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、

サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。

 

また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※２）。

 

• （※1） NIST SP800-63B（電子的認証に関するガイドライン）
• （※2） https://www.nisc.go.jp/security-site/handbook/index.html

定期的な変更を行うのではなく、流出時速やかに変更を行うことが推奨されています。

その根拠は

定期的な変更は、パスワードの作り方をパターン化させ

簡単なものになったり、使い回しになる。

こちらの方が問題と判断したようです。

その他パスワードに関する推奨

この「国民のための情報セキュリティサイト」は、企業のセキュリティ方針の土台にもなっています。

せっかくですので、パスワードに関する推奨事項も記載します。

☆安全なパスワードの設定

安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。

• (1) 名前などの個人情報からは推測できない
• (2) 英単語などをそのまま使用していない
• (3) アルファベットと数字が混在
• (4) 適切な長さの文字列
• (5) 類推しやすい並び方やその安易な組合せにしない

☆パスワードの保管方法

• 基本は記憶しておく
• メモした際は、鍵のかかる机や金庫に保管
• ディスプレイやオープンな場所に保管しない

☆使い回さない

• １ヶ所ごとに、固有のパスワードにする

可能な限りの対策をしましょう

暗号通貨は、あなたの大切な資産です。

今回のパスワードの件以外にも、あなたができるセキュリティ対策をしっかりと行いましょう。

二段階認証必須

APIキー制限

ウォレット選定

フィッシング対策（公式サイトブックマーク等）

見知らぬメールの未読削除

ペーパーやデスクトップ、ハードウェアウォレットにもそれぞれデメリットがあります。

ウォレット選定に悩んだら、各自判断になりますが

いっそbitbankかbitFlyerに預けておく選択肢はありです。

取引所紹介も貼っておきます

参考

国民のための情報セキュリティサイト：http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html

Yahooニュース「パスワードは定期的に変更する必要なし」、総務省の方針転換話題に　「むしろパターン化する方が問題」

：https://headlines.yahoo.co.jp/hl?a=20180327-00000095-it_nlab-sci