パスワードの定期変更は効果が無いってホント?

パスワードを定期的に変更すると逆にリスクが高くなるという話

昨年、アメリカで発表された報告によるとパスワードを定期的に変更する方がセキュリティリスクが高くなるというお話。
今年になって、日本でも総務省のセキュリティハンドブックには、これまで「定期的にパスワードを変更するようにしましょう」という一般常識とされていたことが「パスワードを複数のサービスで使い回さない(定期的な変更は不要)と書かれています。
昨年秋頃から徐々に周知し始めているということのようです。

これは米国立標準技術研究所でパスワード設定規則を主導していた方がパスワードの定期的な変更について誤った考えであったことを後悔しているというコメントから始まっているようです。

パスワードの定期的な変更は意味がある?

ある程度の規模の企業にお勤めの方であれば、定期的なパスワード変更というのは「またこの時期か」と90日程度でパスワードを変更しているのではないでしょうか。
定期的に変更すると言っても、多くの方はパスワードポリシーの最低限の変更で対処しているのではないでしょうか?
例えば、Abcd@1234なんてパスワード(この例は、パスワードポリシーに引っ掛かりますが判り易くということで)だったとして、Abcd@1235と変えたとします。最後の一文字だけ変更してパスワードを変更します。パスワードポリシーで3世代は同じパスワードは使えないとして、次の変更時にAbcd@1236、その次がAbcd@1237と変更してきたとすると・・・

  1. Abcd@1234
  2. Abcd@1235
  3. Abcd@1236
  4. Abcd@1237
  5. ここで世代管理に引っ掛からなくなるので前のパスワードに戻します

  6. Abcd@1234

これって安全なのでしょうか?
簡単に言ってしまえば過去のものでもパスワードを入手してしまえば類推し易いものになっている可能性が高く。悪い人達にすれば容易に破ることができるのでは?ということなんです。とは言っても、人間、そんなに覚えられないし、とっても面倒なので、こんな感じにいている人も多いのでは?という気がします。

パスワード設定規則を主導していた方の誤っていたというのは、これまでの常識的な定期的にパスワードを変更するという考え方に対して、定期的に変更していくと、人は覚えておくために簡単なパスワードを選らんでしまう傾向がある。というのです。いまどきでは、ディスプレイにパスワードを貼っておくなんて人はあまりいないでしょうから、覚えておけるパスワードを選択すると簡単になりがち。ということです。

パスワードを定期的に変更する労力と、記憶しなければならないために簡単になってしまうパスワードによるリスクというのがパスワードを定期的に変更することは無駄ではないか?ということです。ただ、定期的に変更するということ自体は間違いとまでは言えず、労力の割にはリスクが高い可能性があるということでしょうか。

安全なパスワードって

攻撃する側からすれば、時間が掛かるだけで破れないパスワードは無い。と聞いたことがあります。極端に言えば、大文字、小文字、数字、記号をランダムに10文字程度のパスワードにして毎日変更する。ならば定期的にパスワードを変更するというのは安全度は高いと思います。高いだけで破れないわけではないでしょう。でも、記憶だけで、これに付いていける人はほぼ居ないです。パスワード入力だけで1日どれほどの労力を使うことになるのか・・・特に一般事務職の方に求めるにはハードルが高過ぎます。
システムへのパスワードとなるともっと長いパスワードになるでしょう。

ログインして2要素認証をするということも多いでしょう。

2要素認証とは

2要素認証は、種類の異なる2つの情報を組み合わせてログインができるようになる安全性を高めた認証方式です。ユーザ名とパスワードの認証だけでは不足であると考えられたことから考案された認証方法が2要素認証です。

例えば、ユーザ名とパスワードを入力してから、さらに本人だけが知る情報(事前に登録したもの)を入力する。もしくは本人だけが所有する(と考えられている)もの、携帯端末や他のメールアドレスに対してワンタイムパスワードを送信して、記載されているコードを入力して認証するなどです。

指紋認証や光彩認証、顔認証なんていうのもありますが、コスト面を含めてのハードルがあります。(スマートフォンなどで導入されているのでコストは下がっている?)

いま言われているのは、パスワードは数字、文字、記号が含まれていて、長くて単語などにならないものを設定して、定期的に変更するのではなく、パスワードが破られた時には、すぐに変更するようにする。という感じなようです。

「感じなようです」というのは、企業の文化は簡単には変わらないので、いきなりパスワードポシリー変更しました。ということにはならないですし、セキュリティの考え方は日々変わっていくので、今日と明日では違うかもしれません。この辺もシステム管理者の対応が難しい点ですね。

これ、企業でのクライアントとシステムの話としていますが、個人のスマートフォンなどの方がよっぽど大変な気がしたりして。

スポンサーリンク
spdsk-side
spdsk-side