パスワードの定期的な変更は行わないほうがいいんではないか、という話

こんばんは。

shurです。

夜もあまり寒くなくなってきました。

窓を開けてちょうどいいくらいの気温です。

ずっとこれくらいの気温を希望します。

 

音符ピンク音符音符ピンク音符音符ピンク音符音符

 

パスワード、定期的に変更してますか?

 

Googleとかメールサービスとか各種Webサービスを利用するときにいろんなパスワードの設定を求められますよね。

 

で、どれを利用しても必ずと言っていいほど「パスワードは定期的に変更してください」と言われます。

 

職場でも数ヶ月に1回くらいの頻度でWindowsログインパスワードや各種業務ツールのパスワードの変更を求められるのが一般的です。

 

でも、最近は「パスワードの定期的な変更は無意味」という見解が有力になってきているようです。

 

 

lifehacker「実際、パスワードはどれくらいの頻度で変えるべきですか?」
https://www.lifehacker.jp/2012/12/121217changepassword.html

 

少なくとも、パスワードを頻繁に変えることでセキュリティが向上するかといえば、かなり疑問です。

(中略)

侵入者は、1秒間に3480億個のNTLMパスワードハッシュを破ることができるマシーンを持っています。

(中略)

ですので、パスワードを90日、ないしは30日ごとに変えたとしても、セキュリティにはほとんど寄与しません。「パスワードを変えるくらいならトイレ掃除でもしたほうがマシ」と言う人がいるのも、的を射ているかもしれません。

 

攻撃して来る側はものすごい勢いでパスワードを解析して来るので、パスワードを定期的に変えようが変えまいが大して変わりはない、ということのよう。

 

もっともな話です。

 

パスワードを変えるくらいならトイレ掃除した方がいい。うん。

 

 

実際、定期的に変更するパスワードの管理って、どんな風にしてますか?

 

一般的には前のパスワードの記号の並びを変えて新しいパスワードにしたり、前のパスワードの一部の数字を変えたりとか。

 

もし前のパスワードと全然違うものにするのであれば、残しておかないと分からなくなるから紙やノートにメモる、ということになっちゃうことも多いのではないでしょうか。

その場合、定期的にパスワードを変えても手元の「パスワード変更履歴メモ」を紛失したら目も当てられないことになります。

最初から変えない方がよかった、ってことになりますよね。

 

でも、もちろん侵入されたことが分かったら、直ちにパスワードを変更することは大事ではある、と書いてあります。

 

 

まるおかディジタル株式会社「パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている」
https://www.maruoka-digital.jp/blogcontent/260610387/

 

一方、こちらではむしろ「定期的なパスワードの変更は危険」と言っています。

 

なぜなら、「パスワードの変更」をすることは、「パスワードを言いふらす」ことにもなりかねないから、だそうです。

 

「パスワードの変更」を行う場合、「変更前のパスワードを伝える(通信する)」「変更後のパスワードを伝える(通信する)」という行為が伴います。

普段のログイン認証に加えて、「パスワードの変更を行うために余計にパスワード入力することのリスク」が発生するということです。

 

「パスワード生成のパターン」が漏れるリスクもある、とのこと。

パスワードの変更履歴が漏れると、そこから生成ルールが推測できてしまい、未来のパスワードまで予測できる状況になってしまいます。

 

 

また、定期的なパスワード変更はユーザを守るためではなく「サービス提供者側のセキュリティを守るため」であるとも指摘しています。

 

サービス提供者はセキュリティ保護のため定期的なパスワード変更をユーザに求めますよね。

で、ユーザーが「定期的なパスワード変更」を行わない状況でパスワードを破られた。

そしたら、「定期的にパスワード変更してねって言ってあったじゃん」、とサービス提供者は言うわけです。

定期的なパスワード変更のセキュリティ効果がどれだけあるかに関わらずです。

 

確かにそういう一面もあるのでしょう。

 

音符ルンルン音符ルンルン音符ルンルン音符

 

セキュリティというのは僕らユーザー側としても、全く雲をつかむような見えにくい部分でもあります。

 

例えば「家の鍵や会社の入館証をどのように保管するか」というのと似たような話で、絶対的な正解はなかなか見つからない問題ですよね。

 

例えば必ずカバンの中の同じポケットに入れておいたからといって、カバンごと紛失したら意味がありません。

 

また、紛失しないように気をつけていても悪意を持って抜き取られたり、騙し取られたりするリスクも必ずあります。

 

防犯チェーンで財布をズボンに引っ掛けていても、見方によっては「財布がここにありますよ」と言っているようなもの、と言う考え方もできます。

 

「こうすれば絶対安全」という答えはなかなかありませんね。

 

それぞれが、「こうすれば安全」という信念や、世の中の「より安全」と言われる流れにのっとって、セキュリティ意識を向上させるしかないのでしょう。

 

 

まだ世の中の流れは「パスワードを定期的に変更するべき」が主流ですが、数年後には「パスワードの定期的な変更は避けるべき」と、当たり前に言われているかもしれません。