セキュリティ専門家が時事ネタを語る本連載。第23回のテーマはセキュリティ業界では度々議論されてきた「パスワードの定期変更」です。その効果について、ケースを分けて考え直します。
セキュリティ専門家が時事ネタを解説する「セキュリティのアレ」。第23回のテーマは「パスワードの定期変更」です。今回は読者の皆さまのご要望にお応えし、テキストによるダイジェストからお届けします! 解説するのは、前回に引き続き、根岸征史氏と辻伸弘氏。また、本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」にて受け付けております。ぜひ皆さまの声をお聞かせください。
宮田 さて、今回のテーマは「パスワードの定期変更」です。パスワードを定期的に変更することにどんな効果があるのか、もう一度整理しましょう。ただし、「社内システム」の場合は既にポリシーで定期変更が定められている場合などもありますので、今回は、皆さんが普段利用するWebサービスを想定しましょう。
根岸氏 「メールサービス」や「オンラインショッピングサイト」のようなものですね。こういったサービスでは大体、「ID」と「パスワード」を入力してログインするわけですが、そのパスワードが「ずっと安全」なのであれば、そもそも変更する必要はないですよね?
辻氏 10年使おうが問題ないですね。
根岸氏 ところが、現実には変更が必要になる場合があります。それはパスワードが「漏えい」してしまったケースですね。第三者に悪用される危険性がありますから、このような場合はパスワードを変更する必要があります。
辻氏 定期変更の話はいったん置いておいて、ですね。
根岸氏 そうですね。そしてこのパスワード漏えいによる悪用には大きく2つのパターンがあります。1つは、「サイトAから漏れたパスワードを使って、第三者がサイトAにログインするケース」、もう1つは、「サイトBから漏えいしたパスワードが、サイトAのパスワードと同じだったために、それを使ってサイトAに入られてしまうケース」です。
辻氏 後者は「リスト型攻撃」と呼ばれるものですね。
根岸氏 はい。後者のケースでは、そもそも「パスワードの使い回し」をしてしまっていることに問題があるわけですよね。ですから、根本的な対策は定期変更ではなくて、「パスワードの使い回しをしない」ということになります。こうしたパスワードの管理方法についてはこの連載の過去の回でも何度か触れましたね(第13回、第18回)。問題は、前者の「AからA」のパターンです。このリスクに対処するためには、一定の間隔でパスワードを変更すべきなのかどうか?
辻氏 「30日ごと」に変更すべきなのか「90日ごと」なのか、といった議論が行われることもありますね。
宮田 しかし、仮に1年ごとに変更するとして、その1年間はパスワードが同じなわけですから、悪用されるリスクは存在することになりますよね。
辻氏 その通りです。ですから大事なのは、「パスワードを変更すべきタイミングに、ユーザーが気付けるかどうか」ですね。
パスワード変更において重要なのは、漏えいや悪用の発生時など、「パスワードを変更すべきタイミングを、ユーザーが察知することができるかどうかだ」という問題提起から始まった三人の議論。動画中では、それを実現するためにサイト側が実装すべき「ログイン通知」や、パスワードの悪用を防ぐ「二段階(要素)認証」といった仕組みについて詳しく説明します。また、ユーザー視点での注意事項や、セキュリティ専門家である根岸氏、辻氏が、過去に犯してしまった「パスワードにまつわるちょっと恥ずかしい失敗談」も……。Webサービスを使う人だけでなく、「作る側」の皆さまも、ぜひご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.