米マイクロソフトは、パソコン用基本ソフト「ウィンドウズ10」の最新版で「定期的なパスワード無効化ポリシー」を廃止する方針を明らかにした。同社のブログでプリンシパルコンサルタントのアーロン・マーガシス氏は「定期的なパスワードの変更は、古くさくて時代遅れで価値が低い」と理由を述べる。

パスワードを定期的に変更したことで保たれる安全性は、(1)パスワードが流出し、(2)その流出を利用者が認知していない、という2つの条件があり、しかも(3)流出から変更時期まで攻撃が発生しない、という場合に限られる。逆に定期的な変更を強要すると、ユーザーは覚えやすい数字を多用したパスワードを作りがちで、かえってパスワードの強度を落としてしまうという問題も指摘されている。

このため米国立標準技術研究所（NIST）は2017年に公開したガイドラインで、サービス事業者がパスワードの定期的な変更を要求すべきではないと明記しているくらいだ。また一時期多くのサイトで見かけたパスワード回復のための「秘密の質問」も使うべきではないとしている。

このようにパスワードに対する考え方が変わったのは、2つ以上の要素を利用した「多要素認証」が広まりつつあることが背景にある。マーケットスタディーリポートによると、多要素認証の市場規模は18年の62億3千万ドルから、24年には168億ドルに伸びると予測している。

パスワードは、そのユーザーアカウントを利用している人物が正しいかどうかを認証するために使う。このためパスワードという、本来ユーザーのみが知る情報を使って認証していた。

しかし最近はほかの認証方法も利用できる。例えばユーザーが所有している「モノ」で認証する方法や、ユーザー自身の特徴を使うやり方だ。前者の例としてよく使われているのが「ワンタイムパスワード」だ。

ワンタイムパスワードにはいくつかの方法がある。あらかじめユーザーに配布していた「トークン」や、スマートフォン（スマホ）のアプリでサービスと同じ方法で数値を生成させ、それが一致するかどうかで確認する方法や、あらかじめサービスに携帯電話番号を登録しておき、そこにSMS（ショートメッセージ）で合言葉を送る方法だ。

後者の代表例としてはスマホでよく使われる指紋認証や顔認証が挙げられる。

ただしここで注意したいのが、複数要素を組み合わせた認証であれば安全性は高まるが、複数要素のどちらかだけで認証できてしまうと、かえって安全性は低くなる点だ。例えばスマホのロック解除に顔認証を利用する場合、何度か失敗するとPINコードを入力させる画面に移る。この場合は顔認証またはPINコードのどちらかで認証できてしまうので、PINコードによる認証よりも安全性は低下することになる。

最近では多くのサービスが2要素認証を実装している。アカウントの乗っ取りなどを避けるためにも、積極的に利用すべきだ。（北郷達郎）