私の会社やいくつかのウェブサイトが、パスワードを定期的(たとえば3カ月おき)に変えるように強制してきます。基本的にパスワードはどれくらいの頻度で変えるべきなのでしょうか?
使い古しのパスワード(Stale Passwords)より
使い古しのパスワードさん、こんにちは。
多くの組織がユーザーにパスワードの変更を強制しています。長い間、それがセキュリティーの「ベストプラクティス」だと考えられてきたからです。しかし、実際には賛否両論のテーマなのです。以下にパスワードの変更が「有効であるケース」と「有効でないケース」について解説します。
■なぜ企業はパスワードに有効期限を設けているのか?
パスワードを定期的に変える利点は、パスワードが盗まれた場合に、犯人がシステムに侵入できる期間を制限できることです。もし、パスワードに有効期限がなく、またパスワードが盗まれたことにも気づかない場合、侵入者が好きなだけシステム内を嗅ぎ回り、重要な情報を盗んだり、システムに損害を与えることを許してしまいます。多くのセキュリティーガイドラインがパスワードの定期的な変更(通常30~180日)を推奨しているのはそのためです。
しかし、たいていの場合、こうしたガイドラインはもはや時代遅れでオススメできないのです。少なくとも、パスワードを頻繁に変えることでセキュリティが向上するかといえば、かなり疑問です。
Photo by Rochelle Hartman
■なぜパスワードを頻繁に変えるのは時間の無駄なのか?
数年前に行われたマイクロソフト社の研究(PDF・過去記事)によると、「パスワード変更の強制による生産性の低下は、数十億ドルの損害に相当する」そうです。そのほかのセキュリティ関連機関(パデュー大学、Health Informatics、Life as a CIOなど)も同様に、頻繁にパスワードを変更する「ベストプラクティス」が、セキュリティよりもむしろフラストレーションを増やしていると指摘しています。結局、ユーザーはいくつかのシンプルなパスワードを繰り返して使ったり、PCにパスワードを書いた紙を貼り付けておいたりするだけなのです。パスワードの変更を強制することで、むしろセキュリティのリスクを増大させているともいえます。
『The Economist』に「セキュリティ・グル」とも評されたセキュリティの専門家Bruce Schneier氏によると、現代の侵入者はそれほど悠長ではないそうです。例えば、侵入者があなたの銀行口座のログインパスワードを盗んだとします。彼らは2カ月もウロつくことなく、ただちにあなたの口座からお金を引き出してしまいます。企業のネットワークに侵入した場合も、盗んだパスワードを使い続けるよりはバックドアのプログラムを仕掛けるはずです。こうしたケースではパスワードを定期的に変更していてもあまり意味がありません(もちろん、侵入がわかったらパスワードを変えること自体は、重要な措置ですが)。
侵入に使える凶悪なツールがいくらでもある現代、定期的なパスワードの変更はあまり有効な対策ではありません。米国立標準技術研究所も、「パスワードに有効期限を設けても侵入防止には役立たない」と言っています(PDF)。侵入者はパスワード破りの手口に長けているだけでなく、ハードウェア、ソフトウェアともに格段に進歩しているからです。
基本的に、パスワードに有効期限を設けても侵入防止にはあまり効果はありません。他のパスワードポリシーに比べると効果は薄く、侵入者にとってもほとんど障害になりません。たとえ企業がパスワードの有効期限を60日から30日に短縮したとしても、侵入者がハードウェアのリソースを2倍にすれば同じことです。
侵入者は、1秒間に3480億個のNTLMパスワードハッシュを破ることができるマシーンを持っています。NTLMとはWindowsのアルゴリズムを用いたパスワード生成アルゴリズムです。1秒間に3480億個のNTLMパスワードハッシュを破れるのなら、8桁のパスワードを5.5時間で破れるということです。
ですので、パスワードを90日、ないしは30日ごとに変えたとしても、セキュリティにはほとんど寄与しません。「パスワードを変えるくらいならトイレ掃除でもしたほうがマシ」と言う人がいるのも、的を射ているかもしれません。
Photo by Juan Martinez
■パスワードを定期的に変えた方がいいアカウント
もちろん例外もあります。ある種のアカウントでは、侵入者は何カ月も潜伏し、重要な情報が漏れてくるのをじっと待っています。Schneier氏は「タブロイド紙(あなたがセレブの場合なら)があなたのFacebookパスワードを入手した場合、パスワードが変更されるまでアカウントに侵入し続けるだろう」と指摘しています。あなたが気づかない限り、侵入は数カ月、数年にもわたるかもしれません。
一般論として、Schneier氏は次のようにアドバイスしています。
セキュリティが明らかに低いアカウントでない限り、コンピューターや銀行など金融機関のパスワードを定期的に変える必要はありません。企業内で使うログインパスワードは時々変えた方がいいでしょう。また、Facebookについては、あなたの友達、親戚縁者、パパラッチなどがあなたのアカウントを盗聴する危険性を考慮してパスワードの変更頻度を決めてください。ただし、コンピューターを共用していた相手と仲違いした場合は、全てのパスワードを変えてください。
また、二段階認証を備えていないEメール、メッセンジャー、カンファレンスサービスなどのサイトはパスワードを定期的に変更したほうがいいでしょう。こうしたサイトは、侵入者が何カ月も聞き耳を立てていたがるサービスです。もしくは、二段階認証を備えたEメールサービスを使うべきです。Eメールは、侵入者にとって宝の山であり、パスワードマネージャやコンピューターのアカウントと並んでセキュリティ上では最も重要なアカウントです。GmailやFacebook、Dropboxなどのサービスはアカウントのアクティビティ情報を知らせてくれるので、誰かが勝手にログインしていないか監視することができます。
■基本的なセキュリティを強化する
パスワードの変更よりも重要なのは、アカウントごとに異なるパスワードを設定することです。また、その他のセキュリティオプションも強化しておきましょう(二段階認証を採用する、パスワード回復用の質問は推測されにくいものにする、データをバックアップしておくなど)。結局のところ、いくら頻繁にパスワードを変えたとしても、それだけでは不十分なのです。
もし、セキュリティが弱いパスワードを設定していたり、同じパスワードを複数の場所で使っていたりするなら、ライフハッカー過去記事「安全性と使いやすさを兼ね備えたパスワードの作り方」あたりを参考にできるだけ早くパスワードを変更してください。また、定期的にセキュリティの安全性をチェックすることも大切。パスワードを変更するだけでなく、セキュリティ項目の全般を定期的に見直してください。そこまでやったら、あとはリラックスして休みましょう。あなたはできるだけの対策はしたのですから。もう定期的にパスワードを変えるなんて無駄なことはしなくていいのです。
http://news.goo.ne.jp/article/lifehacker/bizskills/lifehacker_28306.html
