「パスワードの定期的な変更を押しつけるのはやめよう」という話が英米の政府機関レベルで盛んに
「パスワードの定期的な変更に意味はない」という結論がはっきりしたので、セキュリティ界隈ではパスワード運用に関する具体的な話が出てくるようになりました。
山本一郎です。パスワード覚えるのが趣味です。
ところで、ここ最近の流れとして、ネットサービスにおけるパスワード運用について、英米のそれなりに権威ある公的機関が次々と興味深い発表をしているのですが、なぜかネタサイト的なところばかりが報じています。これほどの話題であれば、新聞のようなメディアの多くが取り上げてもよさそうなんですが、そうはなっていないのがやや不思議な感じを覚えます。
パスワードを定期的に変更させるシステム仕様には問題がある(Gigazine 16/5/1)
ネットサービスでは「アカウントの安全性を保つために、パスワードの定期的な変更をオススメします」という注意書きが記されていることがありますが、第三者によるパスワードの特定や不正ログインを防ぐには、「ユーザーにパスワードを定期的に変更させるべきではない」とイギリスの政府通信本部が発表しています。Gigazine【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ(INTERNWT Watch 16/6/27)
NIST(米国国立標準技術研究所)の傘下部門であるCSD(Computer Security Division)が発行する文書のひとつ、Special Publicationは、米国の政府機関がセキュリティ対策を実施する際の指針になる文書として、世界中で一目を置かれる存在だ。そんな中、先週末にドラフトとして公開された文書「800-63B」の「5.1.1.2. Memorized Secret Verifiers」が、これまでのパスワード定期変更論争に終止符を打つものとして注目を集めている。INTERNWT Watchパスワードの定期的な変更という運用方法の是非については、ここ数年ネット民の間で小さからぬ話題でしたが、概ねセキュリティクラスタな人々の間では効果がないので無駄だという意見が主流であり、ある意味で結論ともなっていました。
しかし、実際にサービスを提供する側は、ネットバンキングをはじめ高度なセキュリティ運用が求められるところほど執拗にパスワードの定期的な変更を促すところばかり。また、ネットサービスとは若干事情が異なりますが、Windowsなどはパスワードの有効期間を設定できるので、強制的にパスワードを一定期間で変更するような運用をしている企業や団体も少なくないかもしれません。
今回、英米の政府機関レベルでパスワードの定期的な変更がセキュリティ的には意味がなく却ってパスワードの強度を弱める可能性もあると指摘したのは興味深いものがあります。
「パスワードを変更する回数が多ければ多いほど、全体としての脆弱性が大きくなり、攻撃されやすくなってしまいます」とパスワード変更の危険性について警告しています。何度もパスワードを変更すると、新しいパスワードを忘れないようにするため、覚えやすい文字列を設定しがちで、パスワードの強度がどんどん弱くなっていくというわけです。Gigazine
パスワードの定期変更では「Password1」といった具合に末尾に数字を追加するなど、その規則性が容易に推測できることなどから、システムはパスワードの定期的な変更をユーザーに要求すべきではないというもの。併せて秘密の質問も使用するべきではないとしており、今後のさまざまな認証システムの開発に多大な影響を与えることは確実だ。INTERNWT Watchこれまで多くのサービサーはパスワードの定期的変更をユーザー側に強いることで、なんとなくセキュリティにまつわる責任の担保を軽くできたのかもしれませんが、そういうあり方は今後なくなっていきそうです。もちろんユーザー側も定期的に変更しなくていい分、それなりに強度のあるパスワードを使うように心がける必要性は高まるわけですが。昔からその傾向はあまり変わらないのですが一番よく使われるパスワードは万国共通で「123456」だそうです。
よく使われるパスワード 2015年版(セキュリティは楽しいかね? Part 2 16/2/8)
さすがにこういう安易なパスワードは玄関の鍵を開けっ放しにして泥棒に入って下さいと言っているようなものなので、絶対に使わないようにしたいところです。直近でもICT化が最も進んでいる佐賀県のシステムが破られたことに大きな衝撃が走っておりますが、もしかしてパスワードが「123456」だったなんてことはないですよね?
<不正アクセス>「最先端の佐賀県システム破られるとは」(Yahoo!ニュース 毎日新聞 16/6/27)
「ICT(情報通信技術)化が最も進んでいる佐賀県のシステムが破られた。とても驚いている」。佐賀県立高校の生徒の成績などが流出した事件で、文部科学省の担当者はショックをあらわにした。IDとパスワードだけでサービスのアカウントを稼動させる方法は、今後は急速になくなっていく可能性もあります。ただ、それまでの間は、やはりいままでのIDとパスワードで運用せざるを得ないのでしょう。主要なサービスのアカウント情報はある程度きっちり自分自身の脳内で管理しておいて、決済情報に紐づかないようなその他大勢のサービスはそれなりに類推できる簡便な鍵を覚えておく、というような形で堅牢さを失わないような方法でパスワード運用の手間を省くのが一番良いのではないかと思います。
(中略)
教職員が成績や住所などの個人情報にアクセスするには、校内ネットワークに接続したうえでIDとパスワードを入力する必要がある。Yahoo!ニュース