Home » 社員日記 » パスワード管理のススメ2018
4月
25

かつて「パスワード管理のススメ2013」というタイトルで社員日記を書きましたが、それから早5年……その間にセキュリティに関する出来事や事件・事故もいろいろありました。
その中で、話題として取り上げたうちの一つに、「パスワードを定期的に変更する、というルールはあまり意味がないのではないか」というものがありました。

その他に「パスワードは定期的に変更すべき」という一般的なルールについても、あまり意味はないという意見があります。
住所や氏名などの個人情報は不正侵入の時点で漏洩している可能性が高く、またクレジット番号などを利用した金銭搾取も短期間で行われることが多いそうですので、変更の合間で不正侵入が発生したら変更しても手遅れになります。
一方で、例えばメール盗聴など長期的な侵入であれば確かにパスワードを変更すればそれ以上の漏洩は防げます。……ですが、侵入に気付いて変更したならまだしも、たまたま定期的な変更で防げたのだとしたら、そもそも漏洩自体に気付いていなかった、もしくは変更した時点でも気付いていないという潜在的な問題が発生していることになります。
少なくとも簡単なパスワードや使い回しのパスワードのレベルで定期的に変更するよりは、最初から複雑なパスワードをセットして侵入自体に備える方が望ましい、と言われています。

 

当時からセキュリティに詳しい人は声を上げていたものの、一般的にはパスワード定期変更そのものは昔からある常識というせいもあってか、あまり浸透はしていなかったと思います。
それがここ1年の間に「パスワードの定期変更はすべきではない」という方向の論調が一気に強まってきた感があるのでご紹介いたします。

 

まず、定期的な変更ルールを提唱したとされる研究者が、そのルールは結果的に間違いだったと自戒した記事が紹介されました。

<パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」>
http://www.itmedia.co.jp/news/articles/1708/18/news072.html

 

この件に合わせてなのかどうかわかりませんが、彼が所属していたNIST(米国国立標準技術研究所)が発表するガイドラインにおいて、定期変更を推奨する文言が消え、むしろ定期変更をすべきではないという改訂がなされました。

<「パスワードは定期的に変更してはいけない」–米政府>
https://www.newsweekjapan.jp/stories/world/2017/05/—–2.php

 

日本でも、総務省の「国民のための情報セキュリティサイト」でパスワードの定期変更が推奨から否定に方針転換したという報道があり、話題になったのでご存知の方も多いかと思われます。

<「パスワードは定期的に変更する必要なし」、総務省の方針転換話題に 「むしろパターン化する方が問題」>
http://nlab.itmedia.co.jp/nl/articles/1803/27/news130.html

 

改めて、何故パスワードの定期変更が問題なのかを説明いたします。

例えば、3か月ごとにパスワードを変更するという指示に従い、「Password1」⇒「Password2」⇒「Password3」⇒……と変更したとします。
最初の「Password1」が何らかの問題で漏洩した場合、侵入者にとってはパスワードを変えるまでは侵入し放題の状態になります。でもある時から「Password2」に変更したから安心、となるでしょうか?
……侵入者からしたら、多分「Password2」に変更したんじゃないかと推測してまず試すでしょう。これでは変更した意味がないのと変わりありません。
では「Password1」⇒「Password20」⇒「Password888」⇒……と法則性なく変更すれば推測はしにくくなります。でも今度は自分自身が「今のパスワードはどれだっけ?」と悩む羽目に……結局法則性のある変更になってしまいがちになるのです。
定期的に変更するというルールが逆にセキュリティの低下を招いている、という現実があるためにこのルールは不要であるという論調になってきたいます。

もちろん、「Password」などのように発覚しやすいパスワードを使っていて変更しなくてもいい、という話ではありません。
例えば前述のNISTが現在推奨するのは「パスフレーズ」です。スペースなども使用可能で文章のように長い文字列であれば、見た目に意味のある言葉でも問題ない、とされています。
(辞書に載っている単語2~3個程度であればパスワードとしては弱いとされますが、数が増えれば組み合わせもその分膨大になるので有用である、ということです)
とはいえ、パスワードの長さに上限がある場合や、必ず英数字以外の記号も混ぜるように強制される場合もあります。このあたりのルールがある程度統一されないとパスフレーズだけで対応するのも限界があります。
そして前回も指摘したように、パスワードの使い回しは避けるべきです。たくさんの異なるパスワードを管理する、という事態には変わりありません。

 

最後に、この日記を書いている最中に、新たな技術に関するニュースがありましたのでご紹介いたします。

<パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ>
http://www.publickey1.jp/blog/18/webauthnchromefirefoxedgew3cweb.html

 

この技術が今後のスタンダードになるかどうかはまだ分かりません。米アップル社が今のところ参加していないなど、業界の足並みが揃っていないのが現状です。あるいはもっと優れた技術が登場する未来だってありえます。

 

いずれにしても、身の回りのすべてのパスワードが不要になる日々が来るのは、早くてももう少し先の話になりそうです。でも、パスワードに関する常識は今後も変わり続けるでしょう。
ですので、パスワードの適切な管理という手間だけど大切なこの問題と、当面は付き合っていかなければならないのだと思います。

 

セキュアMAX