定期的にパスワードを変更する必要があるのは嘘?本当?

ITやWeb, つぶやき, ニュース

パスワード定期変更は不要」対応分かれ困惑も

という記事があり、ではなぜなのかという問に答えていきたいと思います。

先に結論から書くと、総務省意見にの通り、定期的にパスワードを変更するのは不要だけれども、安全なパスワードを作るべきだと思います。

パスワードを定期的に変更したほうが良いのか悪いのかという議論があります。

世の中的には、変更したほうが良いと思っている人が大半で、ただ、定期的に変更するのは面倒だなと思う人も大半で、実際、システムが強制的に変更を促されないと、やらないことが多いのではないでしょうか。

この問題、面白いのが経済産業省と総務省で対応が分かれています。

経済産業省の情報セキュリティ管理基準を読む(平成28年度版)と

『頻繁にパスワードを変更する、特権を与えられた利用者が離職する又は職務を変更する場合はできるだけ早くパスワードを変更する…』

http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdfより引用

総務省は

利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。

むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.htmlより引用

どっちが正しいのか、議論するためには、パスワード認証の仕組みをする必要があります。

利用者側の視点で、大半はIDとパスワードを入力します。

それとデータベースに入っている、IDとパスワードが一致するば、ログインできますし、一致しなければ、再度IDとパスワードを入力します。

ただここで知っておくべきなのはシステム側の持っているパスワードは利用者側と同じ文字列を持っているわけではありません。ハッシュという技術が使われています。

例で、パスワードがaaaaaaaaだとしたら、
システム側では「fnapdhfadga9y492LSHpe0fq…」
みたいな一意になる長い文字に変換される技術です(このあたりも年々進化しています)。

逆に、システムの持っている「fnapdhfadga9y492LSHpe0fq…」を「aaaaaaaa」に変換することは一般的にはできません。これを不可逆性といいます。

このハッシュという仕組みがあるからこそ、最悪データベースをのぞかれても、IDとパスワードのヒモ付がわからないので、その人になりすますような事はできません。

昔のシステムで、パスワードがわからないとき、メールで直接パスワードを送ってくれるサービスはありますが、そのサービスはかなり危険だと思ってください。

その場合は利用者側のパスワードとシステム側で持っているパスワードがほぼ一致または完全一致しているということです。

本来はパスワードをリセットするのが正しいです。

そのような技術があるので、同じ箇所を引用しますが、
「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。」

毎回難しいパスワードに定期的に変更していれば、それがベストかもしれませんが、現実的には無理ですよね…。というお話です。

ということで、これらの仕組みを知った上で、総務省のパスワードの作り方に基づいて、パスワードを作成するのがいいです。

(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと

付け加えるなら、適切な長さとは極力、長いほうがいいです。このあたり、パスワードに対する攻撃方法も知っておくと、さらに理解が深まります(辞書攻撃、総当たりなど)。あとは使い回しも危ないとされてます。

正直な話、経済産業省は大丈夫なのかと疑ってしまいました。特にこの部分

『全ての利用者に、秘密認証情報としてパスワードを用いる場合は、十分な最短文字数をもつ質の良いパスワードを選定するよう助言する』

他にも怪しい記述がけっこう見られたのですが、そもそも、パスワードって、一人しか知らないことに意味があるので、みんな知っていたら、本当に無意味だなと。

IDパスワード認証はそもそもが面倒なので、他の技術(指紋認証など)が手軽に使えるようになる世界になってほしいものです。正直な話、IDとパスワードって宗教論になりがちな部分もあるでそもそもが不毛だなと…。

最後に話関係ないですが、
zipファイルを送ったあと、別にパスワードを送るという謎の儀式がありますが、あれって何なのでしょうね。

セキュリティをうたっているにもかかわらず、なぜ経済産業省も総務省のサイトもhttpsではないのだろうかと…。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

zack