パスワードは定期的に変更してはいけない

webt170523-password-thumb-720xauto.jpg
「パスワードは定期的に変更してはいけない」
--米政府
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
ニューズウィーク日本版 5/23(火) 15:00配信
ようやくまっとうな勧告を目にした。
パスワードの定期的な変更は不要という勧告で、米国の認証機関が出したもの。

私は以前から、パスワードの定期的な変更については、本当に必要か疑問に思っていたので、こういう勧告が出ると、やっぱりそうだろうとガッテンした。

もちろんパスワードの変更が全く、露ほども意味がないと言うつもりはない。
この記事でも、しょっちゅう変更を求められると、いい加減なパスワードを使いがちになるという副作用に重点を置いているわけで、副作用がなければ、変更に問題はない。「変更すべきでない」は言い過ぎのようにも思う。

パスワードの変更の効果について、簡単な計算をしてみよう。
まず、パスワードになりえる文字列の総数がN 個だったとする。
クラッカーは自分で決めた順番で、この全文字列を一つ一つテストするものとする。
さて、クラッカーがm 個のテストを終了して、未だクラックに成功していないとする。
この時、パスワードの変更はどういう効果があるだろう。

パスワードを変更しない場合は、m 個まではパスワードでないことが解っていると言う条件でのクラックとなるから、残りのテストでパスワードにヒットする平均試行回数は、Nm)/2 である。
パスワードを変更する場合は、クラッカーのm個までのテストはリセットされることになるから、パスワードにヒットする平均試行回数も、元のN/2 にリセットされる。
つまり、平均試行回数はm/2 だけ長くなる。

そら、ちゃんと効果があるじゃないか。
だけど、実際に数値を入れて見る。
たとえば、英数字の36種類の10桁パスワードを使うものとすると、N は36^10=3,656,158,440,062,976≒3656兆個である。
今、クラッカーは1秒間に100万回のテストができるものとしよう。
平均試行回数N/2=1828兆回をこのスピードで実行したとすると、1,828,079,220=507,800時間=21,15858年である。
よくパスワードを90日で変更しろというが、平均試行回数はm/2 だけ長くなる、平均試行時間は90/2日、つまり、45日ほど延びるわけである。
58年=21158日に対する45日だから、0.2%ほど安全度が高くなるというわけだ。
5年ほどパスワードを変更していなかったら、クラックされる危険は10%ほど高くなるとも言える。

ただし、これはクラッカーがずっとこのユーザーIDのパスワードクラックをずっと続けている場合の話だから、余程執念深いクラッカーに狙われでもしない限り、ちょっと非現実的なようにも思う。

上では、テストスピードは100万回/秒としたけれど、これはさすがに凄すぎると思う。そんなに早いレスポンスのサービスはちょっと考えられない。せいぜい1000~10000回というところだろう。だとすると、平均試行時間は当然2~3桁(5800~58000年)長くなる。


2017-05-31_085041.jpg ただ、もし、自分が登録しているサイトのパスワードデータベースが漏洩してしまったとしたらどうだろう。
この場合は、ネットからパスワードのテストをするのとはわけが違い、テストスピードをはるかに高速化することができる。平均試行回数は同じでも、平均試行時間は1000分の1にできるかもしれない。上の数値例なら、21日でクラックされる。
管理者は、漏洩事件を起こしてしまったら、直ちに公表し、パスワードの変更を求める必要がある。

職場などで、隣に座っている職員が横目で見る、あるいは同僚のクセを知っているというような場合も注意すべきだろう。こういう場合は、ときどきパスワードを変えるのは、同僚を信じられないのならだけれど、効果があるかもしれない。

重要なのは、IDが共用されるような場合。複数人が同じID/パスワードで利用しているようなケースだと、人の異動があるなどすれば、当然変更(そして利用者全員に通知)しなければならない。とりわけ、初歩的だが後を絶たないといわれている、委託先などのシステム開発者、rootとかAdministratorのパスワード。権限が強いのに、本当に誰がこのIDを管理しているのかが実は曖昧という場合がある(開発終了後に放置されていることも起こる)。致命的な欠陥である。

なお、件の勧告は、パスワード変更よりも、パスワードをパスフレーズにすることを推奨している。
これはユーザーだけでなく、サービス提供者側に発せられているものと思う。
今までせいぜい10数桁までのパスワードを使っていたシステムに、十分な長さのパスフレーズが受け入れられるように改善しなさいということである。

パスワード管理ソフトを使っているので、私自身はあまりやらないけれど、パスワードの作り方として、パスフレーズの頭文字などを使うというやりかたがある。
たとえば、

Aoniyoshi Nara no Miyako no 8ezakura Kyou 9e ni Nioinurukana ⇒ANnMn8K9nN

などである。
パスフレーズ対応がなされるまで、こういうやりかたも良いかもしれない。
パスフレーズで良く使われるセンテンス集、なんてのも出るだろうけど。

関連記事
スポンサーサイト

コメントの投稿

非公開コメント

Gallery
検索フォーム

⇒記事一覧

プロフィール

六二郎。六二郎。


定年退職
苦しい家計の足しに再就職
=いつクビになってもええねん
 言うたもん勝ちや!のブログ
リンク
最新記事
最新コメント
最新トラックバック
アーカイブ
カテゴリ
タグ

書評 ITガジェット マイナンバー Audio/Visual 

現在の閲覧者数
聞いたもん