パスワードの定期変更は行うべき?行わないべき?③ ~私の意見~
パスワードの定期変更に関して、何度か記事をアップしていますが、自分の中で未だにすっきり解決していませんので、もう少しこの記事を続けてみたいと思います。
今回は、私自身の考えるパスワード変更のメリットやデメリットがメインとなりますので、あまり参考にはならないかと思います。
(私の頭を整理する目的の記事です)
はじめに
まず初めに、私自身はパスワードの定期変更を無くせるのであれば、それに越したことはないと思っています。なぜなら、セキュリティはユーザの負荷になるケースが多く、パスワードの定期変更もそのうちの1つだと思っているため、無くすことでユーザの負荷がなくなるのであれば、無くすべきという考えです。
私がパスワードの定期変更が有効だと思う理由
パスワードの定期変更は辞めたい派の私が、パスワードの定期変更が有効だと思う理由は、以下の通りです。
①漏れているかどうか分からないパスワードを使い続けるリスクがない。
今回、パスワードについて調べていく中で、 パスワードが漏れた場合は、すぐにパスワードを変更しなさいという指針はよく目にしますが、「何をもってパスワードが漏れたと判断するか」という記事は、残念ながら見つけられることができませんでした。
上記サイトで、すでに漏えいしている7億のパスワードが確認できますが、定期的にここでチェックしますか?
それは、現実的ではないでしょう。
だとすると、パスワードが使われた形跡があるかどうか、つまり不正アクセスがあったかどうかが鍵になると思いますが、第1に、ユーザが不正アクセスを検知する方法(例えば、最終ログイン日時の表示など)は、まだまだ実装されているサービスが少ないように感じます。
では、サービス提供者側が不正アクセスがないかどうかを確認すると考えるとどうでしょうか。膨大なログイン履歴から不正アクセスのみを調べることができるでしょうか。
普段と違うIPアドレスからログインしている、普段と違う時間でログインしているという情報から怪しいログインに当たりはつけられても、それをどのようにしてユーザに確認するかという問題が残ります。
そもそも社内であれば解決できる問題であっても、Webアプリの提供であった場合はどうでしょうか。
つまり、パスワードが漏洩している事実を掴めない環境下では、定期変更は有効な手段となり得るのではないでしょうか。
②人事異動などに対応しやすい
人事異動などで特権アカウントのパスワードを変更しなければならない場合には、定期変更を行うことで変更漏れを防止することができます。
もちろん、チェックリストなどを活用し、異動が発生した場合にのみ、速やかに対応を行うという方法もありますが、ルーチン化することによって漏れを防止するという考え方ですね。
③セキュリティ担当者が仕事をしている気になれる
つい最近、以下のような記事が掲載されていました。
セキュリティ担当者の愚痴が炎上したという内容ですね。
「3か月に1回のパスワード変更を毎月変更にしたらユーザの不満が爆発した」結果、「セキュリティ感覚の低さは病気としか言えないレベルだ」と発言したこと炎上した案件です。
セキュリティ担当者からすると、「毎月パスワードを変更するように!」「しかも使いまわしはダメ!ぜったい!」と指示をだすと、なんだか仕事をしている気になれますね。セキュリティは自分の指示で守られているんだ!と…。
これが、パスワードの定期変更を推進する理由には…ならないでしょうか?
私がパスワードの定期変更が有効ではないと思う理由
①パスワードを漏えいさせてはいけない。
そもそも定期変更を行おうが、行わなかろうが、第三者が自分の名を騙って認証を通すことができるという状況になること自体が問題だと思います。
パスワードが漏洩した時点で、自分の権限で行えることを攻撃者が行えるようになると考えると、例えばインターネットバンキングや仮想通貨の取引所のアカウントであれば(二要素認証がないとして)不正に送金ができてしまいます。
定期的に変更していたとしても、その時点で発生した不利益を防止することはできません。逆に定期変更を行うことで、「半年後にパスワードが変わるから」と、漏えいの可能性があっても放置されることのほうが、リスクが高くなることも考えられます。
ここから下の問題点も、すべてパスワードが漏れてしまうことを懸念したデメリットとなっています。
②パスワードの強度の問題
これはいろいろなところで言われていますが、定期変更することによって強度が下がるという問題ですね。
AIが発達すれば、前回のパスワードからAIが推測可能なパスワードはすべてブラックリスト化し、登録時点で排除することもできるでしょうが、まだ、そこまではできないかと思います。
だろすると、どうしても覚えやすいパスワードを設定するために元のパスワードから大きく変化させないパスワード(例:qs85j2sc6d → qs85j2sc6d@ など)を設定する可能性が高まります。
注)このパスワードは適当にキーボードを叩いたデタラメな文字列です。
これについては、規則性はあっても推測できない形にすれば問題ないかと思いますが、全員がそれを遵守できるかと言われると、不安ですね。
(例:qs85j2sc6d → asa!qs85j2sc6dyoru → hiruqs85j2sc6dshinya など…規則的に変化させています)
ただ、システム的にパスワードの強度が低いものがあります(一部の文字列の使用不可、文字数が少ないなど)。そういった場合は、定期変更のほうが安全かもしれません。
③パスワードの使いまわしの問題
最近では、ことあるごとにパスワードの入力を求められますので、複数のサービスで同じパスワードを設定している方は非常に多いかと思います。
パスワードを定期的に変更するとなると、より覚えるのが難しくなるため、②のパスワードの強度の低下と相まって、さらにパスワードの使いまわしが増えるという指摘も、様々なところで行われています。
結局どうすればいいの?
セキュリティを勉強している身でいうべきことではないかもしれませんが、正直なところ、運用するユーザの匙加減1つでどちらにも転ぶ問題ではないかと思いますね。
運用方法によっては、定期変更が完全にダメというわけでもないかと思います。
しかし、冒頭にも書いた通り、セキュリティを担当する方は、セキュリティレベルが維持できるのであれば、ユーザの利便性を向上させるべきだと思いますので、パスワードの定期変更はやめる方向で進むべきではないでしょうか。
そのための課題として、漏らさないパスワード設定は必須で、システム面でそれに対応するとともに、セキュリティに関心のない方にもパスワード設定に関する教育を行う必要があると思います。
専門家の方々のご意見
徳丸浩さんのご意見
徳丸さんは、ご自身のブログでパスワードの定期変更に関する意見をまとめられています。
2013年のエントリーですが、非常に分かりやすく、今でも十分に通用する理論だと思います。
辻伸弘と徳丸浩さんのご対談
2016年にセキュリティのプロフェッショナルであるお二人がご対談された内容です。
私が知らなかっただけで、パスワードの定期変更の要不要論は、かなり昔からありますね。
もっと勉強しなければ…。
