なとりうむのメモ帳

アナログな趣味が多め。好きなことをメインにごく稀にTipsとかも書きます。

パスワードを定期的に変更しても特に意味はないです

様々なサービスで利用してるパスワード、みなさんどんな運用をされていますか?
昨年?一昨年?くらいから、「パスワードの定期更新を強制するのは意味が薄い」と話題になっています。
IT系のエンジニアさんや、ITセキュリティに関するお仕事をされている方、ネット住民のみなさんはご存知でしょう。
まだ知らないよーって方向けにまとめておきます。
社内で意味もない定期更新が行われている場合はぜひ運用見直しの場を設けてください。

日本国内で話題になりだしたのは下記がきっかけですね。
pages.nist.gov

強制的なパスワードの定期変更は、利用者に負担を強いてどんどん簡単なパスワードにしてしまったり、サービス間でパスワードを共有してしまい、解読された場合のリスクが跳ね上がってしまうという話です。
しかもこの定期変更をすることで解読を逃れられるのかと言えばそんなこともありません。
なぜなら、パスワードの解読なんて総当たりだったとしても短時間で終わってしまうからです。
パスワードを解読するには2008年の時点で*1かかる時間をIPAが公開しています。

www.ipa.go.jp

IPAではありませんが、企業が2012年にこんな内容を公開しています。

セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティ

この細かい数字が実際合っているかはともかく、ハードの進化や処理の効率化によってぐっと時間が短くなることは容易に想像できますよね。

総務省ガイドラインを出しています。

安全なパスワード管理|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

また、下記の記事では、定期変更に関して「共有アカウント」に対する言及をしています。
そもそも共有アカウントはダメでしょって話なので、気になった方だけ読めばいいと思います。

www.itmedia.co.jp

「色々運用を変えた方がいいのはわかったけど、これからはどうすればいいの?」って話ですが
利用者

  • サービスが変わればパスワードも変える
  • 短いパスワードは使わない
    ランダムの文字列を覚えるのが辛ければパスフレーズ*2にする
  • パスフレーズを使う場合は解読を難しくするため、本の一節や自身をよく知っている人だと分かる単語は使わず、少し変な文章にする

サービス運営者

  • パスワードを本人の意思で変更できることはOK(そりゃそうだ)
  • パスフレーズに耐えれるように、システムのパスワード文字数制限を緩和する
    *3
  • パスワードの最低文字数の制限を上げる*4
  • 複数の認証方法を組み合わせて使うとより安全(パスワード&指紋認証とか)

パスフレーズを使おうとすると、文字数制限で引っかかることも多いです。
サービスを運用している方にはぜひ制限の緩和をお願いします。
社内の見直しや、日々のサービス利用の見直しに役立つと嬉しいです。

*1:これ超重要です。今はもっとスペックが上がっているのでもっと短くなっています。

*2:ざっくり言うと文章にすることで覚えやすいけど長いパスワードのこと

*3:8文字とか12文字までだと全く足りないです。特に日本語の場合ローマ字入力になるので長くなりがちなのでしっかり余裕を持ったほうがいいです。

*4:最低でも12文字程度がよいのではないでしょうか。将来的なスペックの向上を想定するならもっと上げておいてもいいと思います