Previous Topへ Next

パスワードの定期変更は有効という幻想はなぜ繰り返し湧き起こってくるのかわかった希ガス
〜数量とコストという概念が理解できない人たち

Password-phobia

パスワードの定期変更は有効という幻想はなぜ繰り返し湧き起こってくるのかわかった希ガス〜数量とコストという概念が理解できない人たち

パスワードの定期変更は有効かというテーマで何度か書いたことがある。

以前の職場でも今の職場でも事務用パソコンのログインパスワードの定期変更、事務用スケジュール共有ソフトのログオンパスワードが定期変更の運用をされていて、実際とても迷惑しているからその恨みも込めて無意味であると思う根拠を書いていた。

パスワードの定期変更は意味があるのかないのか?
最近では個人情報の大規模漏洩が問題になっているのでそういう視点での再検証が必要だと感じた。
それで一旦は終わった問題という気がしていたが、もう一度書くことにした。

発端はこちらのまとめに上記の私の記事もまとめられていたからだ。
パスワードの定期変更は無意味という意見 - Togetterまとめ

このまとめはの発端はセキュリティ対策として他の条項と同じく
「パスワードの定期変更を一般に広く啓蒙すべきか?」
という話だったと思う。
多くの人が
「パスワードの定期変更を強調するのは手間などのコストがかかる割には効果はほぼなく、逆にパスワードを定期変更している不便という負荷をユーザにかけるためにパスワードを書いた付箋をモニターに貼ったりというようなモラルハザードが起こって、百害あって一利なし、むしろ有害」
「パスワード定期変更を啓蒙することで『パスワードさえ変更していれば安全』という誤解を生んで逆に有害」

という意見が多く、パスワードの定期変更の意義はほぼないことがもう定説になりつつあるように思っていた。

ところがこちらの大学の先生が
「パスワードの定期変更は『全く無意味』ってあらゆる状況で完全に否定できるのか」
とまぜっかえし始めたところからまた蒸し返しになってきた。

#TKDKG 先生の定期的ひよひよ変更プレイを今月もご覧ください! #パスワード - Togetterまとめ

それに対して誰かが
「誰も無意味なんて言ってませんがな、手間とコストの割にはセキュリティ効果が低すぎるしセキュリティのためには他にもっと優先すべき課題があるはずという話をしているんだが?」
とうっかり反論したために
「『パスワードの定期変更は無意味』と書いたブログ、サイト、ツイッターのツイートがこんなにたくさんある!これでも『誰も無意味なんて言ってません』としらを切る気か!」
と感情的にまとめられたのが冒頭のまとめで、その中に弊サイトのパスワード定期変更に関する記事もリンクを貼られているというしだいだ。

この先生もう3日も炎上しているようだが、レベル的には子供の喧嘩レベルの話でそんなところで引き合いに出されて迷惑している。


もうめんどくさいので、途中は省いて結論だけ書く。

パスワードの定期変更が効果がある局面は非常に限定的で、確率的にはほぼあり得ない状況を想定しており、それでもほぼあり得ないと言っても絶対にあり得ないわけではないので
「パスワードの定期変更が絶対に意味がないことを証明してみろ!」
とかいう議論も(詭弁ではあるが)できなくはない。
悪魔の証明のための議論は時間の無駄でしかないが。

過去記事で想定していなかったというか、最近話題になっている事例に当てはめると
「どこかの巨大企業から住所氏名・メールアドレス・パスワードの個人情報が大量流出した」
というケースがあり得ると思う。

某ベ*ッセから流出したパスワードのリストがリスト業者の間で売買されているという。
するとどういう実害があるか?

或る日突然、あなたの家に頼んでもいない「とらじろうの学習帳」がどっさり送られてくるかもしれない。
しかしこの問題の本当のリスクはそういうことではなく、同じメールアドレスとパスワードを使いまわして登録しているツイッター、フェイスブック、mixi、AppleID、PayPal、楽天、AmazonなどのIDがどんどん乗っ取られてしまい、そこらじゅうのSNSに身に覚えのない、だが自分アカウントのスパム投稿が氾濫したり、iTunes StoreやAmazonやPayPalからガンガン高額請求がきたりということだと思う。

だからパスワードは定期変更すべきということになるのだろうか?

このケースの問題点はパスワードを定期変更していないことではなく、パスワードの使い回しをしていることだ。
同じメールアドレスとパスワードを幾つものサービスで登録している。
これを定期変更したら、高額請求書やなりすましアカウントのスパムを防げるのかというとまず意味がない。
今では大抵の個人は一人で数十ものeコマースサイト、SNS、Webアプリサービスに登録している。
毎日愛用しているものばかりではなく、十年前に試しに登録して一度だけ使ってその後使わなくなってしまったものも含む。
この大学の先生はそういうアカウントも毎月とか90日に一回パスワード変更をしているんだろうか?

そんなことに手間をかけて消耗するよりも、パスワード管理アプリ(パスワードジェネレータ)を使用してランダムなパスワードをすべてのサービスに割り当てておき、それをワンパスワードで管理する方がはるかに手間も少なく安全性も高いはずだ。
そういうケースで「パスワードの定期変更を推奨します」なんて言ったって何の意味もないと思う。
そんなアドバイスをされて10年前に一回だけ試したSNSのアカウントのパスワードを毎月変更するようになるかといえば、そんなネットユーザは多分日本に両手で数えられるぐらいしかいないに違いない。


総当たり攻撃への防御や職場などのネットワークパスワードが漏洩した場合の、パスワード定期変更の無意味さはすでに過去の記事で検証済みだ。

パスワードの定期的変更は意味があるか

パスワードの定期変更は有効という幻想はなぜ繰り返しわき起こってくるのだろう?

「漏洩したパスワードを悪用されないために、たとえ90日に一回の変更でも全くしないよりしたほうが安全なはずだ。
それを全く意味がないというのは極論だ!…」

こんなところかなぁ、定期変更推奨論者の言い分は…

これも面倒なので結論だけを書くとパスワードが漏洩してからすぐに発覚するとは限らないということだ。
漏洩から数日経っているかもしれない。
30日に一回パスワードを変更するルールにしておけばこれは守られるのだろうか?
あるいは漏洩の翌日に発覚したラッキーな場合は有効なのか?

パスワードクラッカーの友達は残念ながらいないので直接聞いてみたわけではないが、もし自分がその立場だとしたら手に入れたパスワードを試すのに24時間も時間をかけないと思う。

1000件のリストだって数時間で全部当たれる。
この数時間のうちにバックドアを仕込んだり、盗めるものは全部盗んで24時間後にはすっかり撤収してもう接続すらしていないだろう。
その後でリスク回避のためパスワードを定期的に変更しましょうなんていってても、何の関係もないし何も守れない。ましてや30日後のパスワード変更なんて明後日の方向の話だ。

この大学の先生の発想はITの話をしているのにスピードのレンジが、どうも印刷物レベルのゆったりした感覚で勝負は最初の数時間なのに、30日に一回のパスワード変更に一体何を期待しているんだろうか?

漏れてはいけないパスワードなら厳重な管理をするべきだし、総当たり攻撃が脅威なら十分な強度を持ったパスワードを設定するべきだ。

外部からの不正入手されたパスワードを使用したアクセスを警戒するなら、ルーティングとかIP規制とかの対策をとるべきだし、そうした施作と明後日の議論のパスワード定期変更が「同等・同列の安全策」とは到底思えない。

パスワードの強度・ルーティングなどのネットワークのセキュリティ強化、パスワード管理の厳格化とパスワードの定期変更をまるで同レベルの効果があるセキュリティ対策のように言って
「そっちを啓蒙するならパスワード定期変更も同じように教育しなければいけない‥」
とかいうのはどう見てもそれぞれの対策の効果を理解していないか、何か商売上の思惑があるかのどちらかにしか見えないのだ。

「パスワードの定期変更が全く無意味なんて言えないじゃないか!たまたま漏洩したその日がパスワード変更の日だったら効果はあると言えるじゃないか!」
という議論は確かに成り立つかもしれない。
だから
「『パスワードの定期変更は全く無意味だ』というのは極論でそんなこと言ったらどんな対策だって破れないものはないじゃないか」
という言い方だってできる。
でもこれは
「内部被曝が怖いからゼロベクレルの食品でなければ何も食べない! あーあーきこえない (∩ ゚д゚)」
というのと同じような議論なんだよなぁ。
自然界にゼロベクレルの食品なんて存在しない…原発事故が起きる以前から全ての食品はわずかに天然の放射能は含んでいる…そのための安全基準だとかいう反論は彼らには一切届かない。

「フクシマ産のものは、たとえけし粒でも口にしない! あーあーきこえない (∩ ゚д゚)」
というのと
「パスワードの定期変更で絶対に全ての脅威を防げないとも言えないじゃないか… あーあーきこえない (∩ ゚д゚)」
これ似てるよね。

パスワードの定期変更でたまたまタイミングが合って漏洩したパスワードが無効になって助かるラッキーなパターンを期待するんじゃなくって、その対策の安全度とそれにかかる手間などのコストの量の比較の問題を言っているんだけど、量なんか関係なくゼロベクレルでなければ絶対に食べない!というんじゃ正しい比較判断もできないと思う。

ましてや
「パスワードの定期変更さえしていれば安全」
というジイ様あたりにありがちな誤解を拡大再生産するデメリットさえあることも考えると、パスワードの定期変更を強調するのはむしろ有害ではないか…と思ってしまうのだ。

そこらのニュアンスを説明するのがめんどくさいので…
一絡げで「パスワードの定期変更なんか無意味!」と簡単に結論して議論を打ち切りたくなるんだよな。

ここまで書くのにいつになく、時間がかかっている。
どうも筆が進まないと思ったら、要するにこの話題は面白くないし愉快でもないし私自身あまり興味を持てないので、こんな話に時間をかけたくない…と思っていることに気がついた。

なんとなく火の粉が飛んできた気がしたから、立場は明らかにしとかないといけないと思ったが、この件の議論には巻き込まれたくない。


ちなみに私の個人環境のパスワードの定期変更はやっていない。
自宅のネットワークを入れた当時から同じパスワードを使用している。
要するにそういうことだ。




2014年10月20日















Previous Topへ Next





site statistics