「パスワードを定期的に変更しましょう」というフレーズはあちこちで耳にするが、その効果の程については疑問視する声もあるのはご存知の通り。今回各所で話題になっていたのが、Twitterユーザーの@pseudoidentifieさんが公開した「パスワードの最適変更間隔とその定量的効果の評価」という考察。総当たり式で攻撃者がパスワードの解析を行って正解を突き止めるまでの平均時間から逆算して、どれだけの間隔でパスワードを変更するのが最適かを検証したものだ。導き出された結果の中で興味深いのは、辞書に載っている10万語を2語組み合わせたパスワードの場合、最適値とされる16日間隔でも、約27年間隔でも、パスワードを変更する効果はそれほど変わらないということ。一方で、4桁の数字パスワードであれば23.5分間隔が最適値だが、それでも平均27.4時間で突破されるということで、パスワードに必要なのは定期変更ではなくむしろ「長さ」であると見ることもできる。結論は見る人に委ねられている格好だが、いずれにせよ大変参考になる調査結果なので、ぜひリンク先で詳細を確認されたい。
◇パスワードの最適変更間隔とその定量的効果の評価
https://docs.google.com/document/d/1RWDerFjLc24nr_lDhF8s0vEOJ8DPKhEnEAYG9qr_oBY/pub
http://internet.watch.impress.co.jp/docs/yajiuma/20150205_686981.html