Previous Topへ Next

パスワードの定期変更は有効という幻想は
なぜ繰り返しわき起こってくるのだろう?

PASSWD superstition

パスワードの定期変更は有効という幻想はなぜ繰り返しわき起こってくるのだろう?

これも先日たまたま調べものしていて見つけたTogetter
Togetter - 「パスワードは定期的に変更するべき、というのは都市伝説?」

パスワードを定期的に変更することでセキュリティが高まるかどうかについて、私の考えはこちらで書いた。
パスワードの定期的変更は意味があるか

こちらのTogetterでも一部の方が書いておられたが、パスワードの定期的変更は昔の4ケタPINコードとかそういう貧弱なパスワード環境では補完的な意味があったのかもしれない。
少なくとも一度破られたパスワードを繰り返し悪用されるということを防げるという意味ではやらないよりはマシという意味はある。
総当たり攻撃でも0000から9999まで10000通りしか組み合わせが無いといったって、その総当たり攻撃を専用機のテンキーからしか入力できないなら、少しは意味があるかもしれない。

でもそういう問題とオンラインでパスワードクラックされるようなケースを同列で考えるのは状況が違いすぎる。
オンラインなら専用の総当たり攻撃ソフトを走らせることだってできる。
そこで重要なのはパスワードの強度で、定期的に変更されているかどうかはあまり関係ない。

その理由はリンク先のページで書いた。

パスワードが物理的に漏洩するという場合を想定しているなら、大抵の企業や組織がセキュリティポリシーで規定している
「30日ごとにパスワードを変更する」
という規定はユルすぎて意味が無い。
1週間でも無意味だ。
それをやるなら、これもリンク先で書いたように毎分変更するべきだ。
それなら意味がある。
しかしそれは非常に使いにくいシステムになるだろうね。


件のTogetterの質問者はどこかの企業のセキュリティ担当者らしく、こういう運用をしないとユーザのセキュリティ意識が高まらないようなことを書いている。
これは少し同情するけど、その目的のためにパスワード変更するのはやはり目的と手段が一致していない気がする。
パスワード変更は、そういう事情がよくわからないエライサンに
「ちゃんと対策をやってます」
というアピールをする以外に何の意味も無いと思っている。

パスワードを書いたメモ紙を平気で社外で紛失してくるようなユーザ相手に毎月、あるいは毎週パスワードの変更を励行したって意味が無いのだ。
社内の安全管理を高めるためという崇高な情熱は分からないでもないし、そういう無茶をしないと一般ユーザは基本的にセキュリティには無関心なのだという苛立ちもよくわかる。

でもやっぱり効果を考えると、エライサンアピール効果以外に成果は期待できない気がする。




2010年12月13日















Previous Topへ Next





site statistics