10年くらい前までは「パスワードは定期的に変えよう」というのが常識だったが、その後どういう訳か「パスワード定期的変更のほうが脆弱」という論調が台頭し、業務ではともかくプライベートでのネットサービス利用にあたりパスワードを定期的に変える人はほとんど見なくなった。
定期的変更のほうが脆弱というのは定期的変更を強いると強度の弱いパスワードをみんな設定してしまい、ブルートフォース攻撃に弱くなるというのが理由だった。令和に入る頃には日本のネットユーザーの大半がそれを信じていた。
しかし、それはパスワードがめったに漏れない前提でのロジックだった。
毎週のように大手企業が個人情報をお漏らしし、フィッシングメールが大量発生するようになった今では、パスワードも容易に漏れるようになった。
パスワードが漏れてもすぐに悪用される訳では無い。むしろ1〜3カ月くらい間を空ける。これは、不正にアカウントを使われた人に「いつ盗まれたか分からない」と思い込ませることや、サイバー攻撃を通じて盗んだ場合は漏洩元企業に「悪用は確認されていない」と公式に言わせ、被害者を油断させるためである。
当然間は空くので、その間にパスワードを変更していれば漏れたパスワードは使えなくなるため被害を防ぐことが出来た。しかし今はパスワードをめったに変更しなくなった。この風潮を突かれたのが昨今の株不正取引騒動だ。
今回の犯人達は、もしかしたらこういう風潮が出来上がるために「パスワードの定期変更はやめましょう!」と必死に啓蒙していた連中の中に居るかも知れないな。分かっているだけで1000億円近くの日本円が盗まれた。年単位の工作に見合うリターンだ。
Xでは楽天証券やSBI証券などのネット証券ユーザーによる「パスワード変更しなきゃ!」の悲鳴で満ちあふれている。令和も7年目に入り、昔ながらの「パスワードの定期的な変更」が最大の不正アクセス対策として再び主流になっていきそうだ。
面倒くさいから末尾を変更月に合わせて01~12でループさせてるわ
それで十分セキュアだと思うよ 2段階認証()だから放置、なんてより余程良い
セキュアとセキュリティの違いがわかんない あとEDRとかでてこてなんなのかわかんない
パスワードが容易に漏れるようになったのならもうIDパスワード方式の認証は終わらせないとダメでしょ