結局、パスワードの定期変更は不要なのか、必要なのか:今さら聞けない「セキュリティ基礎の基礎」(3)(1/2 ページ)
パスワードの方針について総務省は2004年に「パスワードを定期的に変更するように」と総務省のサイトで呼び掛けていました。しかし、2018年に「パスワードの定期変更は不要」と内容を一変させ、話題となりました。今回はパスワードの定期変更について、米国の状況や、定期変更が必要となるパターンを見直してみます。
利用者を特定するための基本的な手段としてIDとパスワードを用いた方法(認証)が広く利用されています。しかし、この方法はIDとパスワードの組み合わせが分かれば、誰でもその人になりすますことができます。特にパスワードは機密性が高いため、漏えいしないように厳格な管理が求められます。
「パスワードの定期変更は不要」と一様に思われがちですが、必ずしもそうとは言い切れません。今回はパスワードの定期変更について解説します。
総務省の見解
2004年、総務省はパスワードが漏えいした場合、パスワードを定期的に変更していれば、被害を防ぐことができるため、パスワードの定期変更を推奨していました。
しかし2018年には、パスワードの作り方がパターン化して容易に推測されやすくなるリスクやパスワードを使い回すことを助長しかねないことから、パスワードの定期変更に関する内容を変更しました。例えばパスワードを「password1」から「password2」に変更(下1桁の数字が増えた)する場合、変更前のパスワード「password1」から現在のパスワード「password2」を推測することは比較的容易となり、定期的に変更する効果は低くなります。
そのため、以下の条件を満たし、複数のサービスで異なるパスワードを設定している場合は、パスワードが漏えいした事実が確認できない限り、定期的にパスワードを変更する必要はないと方針を変更しました。
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用していないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並び方やその安易な組み合わせにしないこと
総務省が内容を変更した背景には、米国立標準技術研究所(NIST)が発表したID運用についての報告書があります。
米国の状況
2017年5月にNISTが出した「Digital Identity Guidelines」でも「パスワードの定期変更は不要」と記載されています。この内容によると、以下の条件を満たす場合はパスワードの定期変更は不要となっています。
- パスワードは8文字以上(パスワードジェネレータを用いてランダムに設定される場合は6文字以上)
- パスワードは最低64文字までの長さを許可する
- 複雑さの要件を課さない(大文字を1個、小文字を1個、数字を1個、特殊文字を1個のようなケース)
- ASCIIやUnicodeに定義されている文字はパスワードとして利用可能とする(スペースを含む)
- パスワードがUnicodeで設定される場合、NFKC(Normalization Form Compatibility Composition:正規化形式KC)やNFKD(Normalization Form Compatibility Decomposition:正規化形式KD)で正規化する
- 秘密の質問は求めない
- パスワードのヒントを表示しない
- 以下のパターンに合致しない
- 過去に漏えいしたパスワード
- 辞書に含まれる文字列
- 繰り返しまたはシーケンシャルな文字列(繰り返し例「aaaaa」、シーケンシャル例「12345」)
- サービス名や名前など推測可能な文字列
総務省の提示した内容との大きな違いとしては、総務省はパスワードに英語と数字の混在を推奨している半面、NISTでは複雑さの要件を課さないことを推奨しています。これは、NISTでは細かなパターン分けされたルール(詳細は原文をご確認ください)が記載されており、さらにパスワードに求める条件も多いことから、これらの要件を満たしている場合は複雑さの要件が必要とはならず、むしろパスワードの作り方がパターン化しないように不要と記載していると考えられます。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 多段階認証、多要素認証から不正アクセス対策を考える
利用者本人を特定するために用いられる多要素認証は、ユーザーの利便性を下げる可能性があります。まずは多要素認証の必要条件を知り、利便性と安全性のバランスを取るにはどうすべきかを考えます。 - 「パスワードの定期変更」を考え直そう
セキュリティ専門家が時事ネタを語る本連載。第23回のテーマはセキュリティ業界では度々議論されてきた「パスワードの定期変更」です。その効果について、ケースを分けて考え直します。 - 徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」
サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「@ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。