アーカイブ

2016 年 1 月 のアーカイブ

【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか

2016 年 1 月 28 日 コメント 2 件

【パスワードの定期変更1】〜まずは結論から
からの続きになります。

【「パスワードの定期変更を行う目的」についての認識のズレ】

 セキュリティ専門家を含む多くの人が「パスワードの定期変更は無意味」と言ってしまう、言いたくなってしまう理由は複数考えられますが、原因の一つはセキュリティ上の対策として「パスワードの定期変更を行う目的」についての認識にズレがあるからです。「パスワードの定期変更を行う目的」として一般に言われているものとしては以下の二つが挙げられます。

 1 パスワードを総当たりによって推測されることを防止する。(推測リスク対策)

 2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)

 私が見る限り「パスワードの定期変更は無意味」と言ったりその話を聞いてなるほどと思う人の多くは、「パスワードの定期変更を行う目的」を1番の推測リスク対策であると認識しているように見受けられます。一方「パスワードの定期変更は無意味」とは言えないと考える人の多くは「パスワードの定期変更を行う目的」を2番の「漏洩リスク対策」であると認識している、あるいはその意義を認めている人であると思われます。

 1番の「パスワードを総当たりによって推測されることを防止する。」については、変更したパスワードに対して試行するパスワードが偶然一致する確率が存在するため、その効果は最も良い条件においてパスワードを推測するために必要な平均試行時間を最大でたかだか2倍にする程度の効果しかないことがわかっています。
 
 特にオンライン状態での攻撃を想定した場合、この最も良い条件とはパスワードを推測しようとする攻撃者が自由にパスワードの試行を行うことができる状態を想定したものであり実際にはこれは現実的ではありません。多くのシステムでは何度かパスワード試行の失敗が連続すると次のパスワード入力まで一定時間待たなければならなかったりアカウント自体がロックされるなどの対策が行われるのが一般的です。そのため、ここで計算の対象となるような連続したパスワード試行が行えるケースは実際には少なく、仮にそう言った機能がないサービスがあるとすれば無限にパスワード試行ができる状態自体を改める必要があるでしょう。
 
 オフライン状態での攻撃を想定した場合、すなわちパスワードがハッシュ化されたデータとして漏洩しこれを攻撃者が解析するという場合を考えます。このケースはさらにこれらハッシュデータが継続的に漏洩する場合と、一度だけ漏洩しその後は漏洩しない場合(例えば退職者のデータ持ち出しなど)に分けることができます。前者の継続的に漏洩する場合については常に変更された最新のデータに対してパスワードの推測を行うこととなり、これは先のオンラインでの試行回数の制限がないというケースと理論的に同じ状況になります。一方で後者のハッシュ化されたパスワードの一度だけ漏洩しその後漏洩することがないケースについては、パスワード定期変更の効果としては推測リスク対策というよりは漏洩リスク対策としての意義が生じることとなります。(悪用の時点でパスワードが変更されていることによって効果が生じるため。)
 
 つまりどのようなケースについて検討しても「パスワードの定期変更を行う目的」としては1番の「パスワードを総当たりによって推測されることを防止する。」はその意義を見出せないということとなります。

 つまり元々「パスワードの定期変更を行う目的」としては1番の「パスワードを総当たりによって推測されることを防止する。」の認識はあり得ないのです。しかしそのようなパスワードの定期的な変更の目的に関する誤認は広く存在しており、警視庁のサイトなどにも「長期間利用しているパスワードは破られる可能性もあるため、パスワードを定期的に変更することでセキュリティを高めることができます。」など誤った記述が存在しています。「パスワードの定期変更は無意味」という人の多くは「パスワードの定期変更を行う目的」として1番の「パスワードを総当たりによって推測されることを防止する。」であると考えており、上記のような「パスワードを総当たりによって推測されることを防止する。」の効果が小さいということを認識した際に「パスワードの定期変更は無意味」であることがわかったという発想に結びつきやすいものと考えられます。
 
 「パスワードの定期変更は無意味」と考えている人の中にここまで読んで、いやいや自分は2番の「漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」についても考えた上で「意味がない」と言っているんだよという人もいることでしょう。この部分の議論については次の
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更」というエントリーで一律に「意味がない」とは言えない説明を書いていますのでご確認ください。
 
 本エントリーのテーマである「なぜ『パスワードの定期変更は無意味』と言ってしまうのか」に話を戻したいと思います。

【「パスワードの定期変更は無意味」は好意的に受け止められる】 

 「パスワードの定期変更は無意味」と言ってしまうもう一つの理由は、日々多くの人がパスワードの定期変更を強制されたり求められることにウンザリしており、「パスワードの定期変更は無意味」という主張やメッセージはその真偽を問わず好意的に受け止められる傾向にあるということがあります。実際に「パスワードの定期変更は無意味」といったメッセージを含む記事は大変話題になりやすくメディアサイトなどでは容易にPVを稼ぐことができます。またツイッターやフェイスブックなどSNSでも賛同され拡散されやすいために多くの人の目に触れることとなります。 
 
 そしてこの「パスワードの定期変更は無意味」というメッセージはパスワードの定期変更を強制したり、推奨する事業者やシステム管理部門を批判するための格好の材料として使われ、時に「パスワードの定期変更は無意味であることを分かっていない」と言った表現が用いられます。有名な人が言っているから、や大手企業のGoogleが推奨していないからと言ったことを根拠として「パスワードの定期変更は無意味」であることが確立された客観的事実であるかのように語られることもあります。そしてその考えに基づき企業やシステム管理者を馬鹿にしたり強く批判する発言を行うため、後からその考えを改めることができなくなるという状態に陥ってしまいます。

【「パスワードの定期変更は無意味」と言ってしまう理由】
 
 つまり「パスワードの定期変更は無意味」と言ってしまう理由は、「パスワードの定期変更の目的」を「パスワードを総当たりによって推測されることを防止する。(推測リスク対策)」ことであると考えている人が、この効果が想定していたほど高くないことを知らされた時あるいは気づいた時に、「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の効果に十分思いを巡らせることなく「パスワードの定期変更は無意味」だと考えてしまうためであり、またそれが多くの人にとって望ましい事実のように受け取られるため、その言説の真偽に関する十分な評価が行われないまま広まってしまうことがさらにそう言った状況を生みやすくしていると考えられます。

(続編)
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

(今後の執筆予定)
【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ

【パスワードの定期変更1】〜まずは結論から

2016 年 1 月 28 日 コメントはありません

 ここ2年ほど続けてきたパスワードの定期的な変更をめぐる日本での一連の議論について論点も出尽くしたように思われますので、これまでの議論の経過についてまとめておきたいと思います。まず最初に本エントリーにて私の認識を結論として記述しておきます。内容は当初より変わるものではありませんが誤解のないように自身のスタンスを明確にしておきたいと思います。

【結論】
 パスワードを定期的に変更することによるセキュリティ上の効果に関する評価はケースバイケースであり、システムの用途や個々の利用者の利用形態によって意味がある場合もあればない場合もある。そのために一律に意味があるとも無意味であるとも言うことはできないと考えています。
 
 また、私は「パスワードの定期変更は無意味」と言う表現を客観的事実についての表現として使用すべきではないと考えています。その理由は、こういった表現によって多くの事実誤認が生じていると感じているからです。(個人の考えとして「パスワードの定期変更は無意味《だと思う》」といった表現については他人がとやかくいうことではないと思います。)

 ここで言う事実誤認とは「パスワードの定期変更にセキュリティ上のリスク低減効果がないことが科学的に認められている」という誤った認識がされることです。この事実誤認はさらに「パスワードの定期変更は無意味」という発言を行う原因ともなっており、さらに事実誤認が広がるという悪循環に陥っていると考えられます。

【サービス提供者としての考え方】 
 サービス提供側がパスワードを定期的に変更することを強制したり過剰にうながしたりすることは、多くの利用者にとって負担となり不評となることが多いので施策の採用についてはパスワード以外の認証方法の利用を含め慎重な検討が必要です。私自身は一般的に全ての利用者に対して一律にパスワードの定期変更を強制または推奨すべきと判断されるケースはそれほど多くないと考えています。認証方式の設定については単純に認証の仕組みだけでなく、初期設定や連続した認証失敗への対応、アカウント停止後の回復方法など総合的に検討する必要があります。例えば一定期間パスワードの変更がない場合にログインを停止したとしてもアカウントの復活方法が簡単なのであれば一定期間パスワード変更のないアカウントをロックし、必要に応じてパスワードを利用したログインを復活させるという方法での運用も考えられます。(電子メール送信によるパスワードリセットは認証方式として安全ではありませんが実態として現在多くのサービスで利用されています。)同時にパスワードを定期的に変更することによってパスワードを忘れる可能性が増えたり変更を繰り返すことで弱いパスワードを設定するようになるなどのセキュリティ上のデメリットがあることもありますのでこれらへの対応も合わせて検討する必要があります。

【利用者としての考え方】 
 個々の利用者としてはサービスや扱う情報の性質、利用形態、二段階(要素)認証など他のの認証方式利用の是非などを踏まえパスワードの定期的な変更を行うことによるメリットとデメリットなどを合わせてパスワードの定期変更を行うべきかを考える必要があります。利用する全てのサービスやアカウントについて一律にパスワードの定期変更が必要かどうかを考えるのではなく、それぞれ個々のサービスの自分の利用形態などに合わせて要否を考えるべきでしょう。利用者にとってパスワードを定期的に変更を行うべきか否かの判断には、アカウントが不正利用された場合に自身また他者に対してどの程度のマイナスの影響が及ぶのか、また定期変更を行うにあたり自身がどの程度負担を感じるのか、他のサービスと同じパスワードを設定しない、推測されやすいパスワードを設定しないなど他のセキュリティ要素を損なうことなく実現できるか、またパスワードを忘れずに管理できるかなどの要素も考慮する必要があります。
   
【「パスワードの定期変更は無意味」という表現について】 
 「パスワードの定期変更は無意味」と言う表現を使用すべきではないということについて「誰も本当に無意味だとは言っていない」「全く意味がないと言っているわけではない」、「コストに見合うだけのメリットがないという意味で言っている」などと言った主張をされる方がいますが私が問題視しているのは「パスワードの定期変更は無意味」という言葉そのものであり解釈の内容を問うものではありません。むしろそのように解釈にブレが生じる表現が用いられていることが事実誤認を生む原因となっていると言えるでしょう。
 
【「定期的」という表現について】
 一連の記述について経緯上「定期的」という表現を用いていますが、一般にパスワード変更の文脈において「定期的」とは「一定の期間を超えないうちに」という意味で使われる表現と認識しており、必ず一定の期間毎に変更するという意味を意図するものではありません。これは一定期間を最長とする不定期な変更を含むものと認識しています。

(続編)
【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更

(今後の執筆予定)

【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ