【パスワードの定期変更2】〜なぜ「パスワードの定期変更は無意味」と言ってしまうのか
【パスワードの定期変更1】〜まずは結論から
からの続きになります。
【「パスワードの定期変更を行う目的」についての認識のズレ】
セキュリティ専門家を含む多くの人が「パスワードの定期変更は無意味」と言ってしまう、言いたくなってしまう理由は複数考えられますが、原因の一つはセキュリティ上の対策として「パスワードの定期変更を行う目的」についての認識にズレがあるからです。「パスワードの定期変更を行う目的」として一般に言われているものとしては以下の二つが挙げられます。
1 パスワードを総当たりによって推測されることを防止する。(推測リスク対策)
2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)
私が見る限り「パスワードの定期変更は無意味」と言ったりその話を聞いてなるほどと思う人の多くは、「パスワードの定期変更を行う目的」を1番の推測リスク対策であると認識しているように見受けられます。一方「パスワードの定期変更は無意味」とは言えないと考える人の多くは「パスワードの定期変更を行う目的」を2番の「漏洩リスク対策」であると認識している、あるいはその意義を認めている人であると思われます。
1番の「パスワードを総当たりによって推測されることを防止する。」については、変更したパスワードに対して試行するパスワードが偶然一致する確率が存在するため、その効果は最も良い条件においてパスワードを推測するために必要な平均試行時間を最大でたかだか2倍にする程度の効果しかないことがわかっています。
特にオンライン状態での攻撃を想定した場合、この最も良い条件とはパスワードを推測しようとする攻撃者が自由にパスワードの試行を行うことができる状態を想定したものであり実際にはこれは現実的ではありません。多くのシステムでは何度かパスワード試行の失敗が連続すると次のパスワード入力まで一定時間待たなければならなかったりアカウント自体がロックされるなどの対策が行われるのが一般的です。そのため、ここで計算の対象となるような連続したパスワード試行が行えるケースは実際には少なく、仮にそう言った機能がないサービスがあるとすれば無限にパスワード試行ができる状態自体を改める必要があるでしょう。
オフライン状態での攻撃を想定した場合、すなわちパスワードがハッシュ化されたデータとして漏洩しこれを攻撃者が解析するという場合を考えます。このケースはさらにこれらハッシュデータが継続的に漏洩する場合と、一度だけ漏洩しその後は漏洩しない場合(例えば退職者のデータ持ち出しなど)に分けることができます。前者の継続的に漏洩する場合については常に変更された最新のデータに対してパスワードの推測を行うこととなり、これは先のオンラインでの試行回数の制限がないというケースと理論的に同じ状況になります。一方で後者のハッシュ化されたパスワードの一度だけ漏洩しその後漏洩することがないケースについては、パスワード定期変更の効果としては推測リスク対策というよりは漏洩リスク対策としての意義が生じることとなります。(悪用の時点でパスワードが変更されていることによって効果が生じるため。)
つまりどのようなケースについて検討しても「パスワードの定期変更を行う目的」としては1番の「パスワードを総当たりによって推測されることを防止する。」はその意義を見出せないということとなります。
つまり元々「パスワードの定期変更を行う目的」としては1番の「パスワードを総当たりによって推測されることを防止する。」の認識はあり得ないのです。しかしそのようなパスワードの定期的な変更の目的に関する誤認は広く存在しており、警視庁のサイトなどにも「長期間利用しているパスワードは破られる可能性もあるため、パスワードを定期的に変更することでセキュリティを高めることができます。」など誤った記述が存在しています。「パスワードの定期変更は無意味」という人の多くは「パスワードの定期変更を行う目的」として1番の「パスワードを総当たりによって推測されることを防止する。」であると考えており、上記のような「パスワードを総当たりによって推測されることを防止する。」の効果が小さいということを認識した際に「パスワードの定期変更は無意味」であることがわかったという発想に結びつきやすいものと考えられます。
「パスワードの定期変更は無意味」と考えている人の中にここまで読んで、いやいや自分は2番の「漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」についても考えた上で「意味がない」と言っているんだよという人もいることでしょう。この部分の議論については次の
「【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更」というエントリーで一律に「意味がない」とは言えない説明を書いていますのでご確認ください。
本エントリーのテーマである「なぜ『パスワードの定期変更は無意味』と言ってしまうのか」に話を戻したいと思います。
【「パスワードの定期変更は無意味」は好意的に受け止められる】
「パスワードの定期変更は無意味」と言ってしまうもう一つの理由は、日々多くの人がパスワードの定期変更を強制されたり求められることにウンザリしており、「パスワードの定期変更は無意味」という主張やメッセージはその真偽を問わず好意的に受け止められる傾向にあるということがあります。実際に「パスワードの定期変更は無意味」といったメッセージを含む記事は大変話題になりやすくメディアサイトなどでは容易にPVを稼ぐことができます。またツイッターやフェイスブックなどSNSでも賛同され拡散されやすいために多くの人の目に触れることとなります。
そしてこの「パスワードの定期変更は無意味」というメッセージはパスワードの定期変更を強制したり、推奨する事業者やシステム管理部門を批判するための格好の材料として使われ、時に「パスワードの定期変更は無意味であることを分かっていない」と言った表現が用いられます。有名な人が言っているから、や大手企業のGoogleが推奨していないからと言ったことを根拠として「パスワードの定期変更は無意味」であることが確立された客観的事実であるかのように語られることもあります。そしてその考えに基づき企業やシステム管理者を馬鹿にしたり強く批判する発言を行うため、後からその考えを改めることができなくなるという状態に陥ってしまいます。
【「パスワードの定期変更は無意味」と言ってしまう理由】
つまり「パスワードの定期変更は無意味」と言ってしまう理由は、「パスワードの定期変更の目的」を「パスワードを総当たりによって推測されることを防止する。(推測リスク対策)」ことであると考えている人が、この効果が想定していたほど高くないことを知らされた時あるいは気づいた時に、「2 漏洩したパスワードが何らかの方法で漏洩した場合に被害の発生または継続を防止する。(漏洩リスク対策)」の効果に十分思いを巡らせることなく「パスワードの定期変更は無意味」だと考えてしまうためであり、またそれが多くの人にとって望ましい事実のように受け取られるため、その言説の真偽に関する十分な評価が行われないまま広まってしまうことがさらにそう言った状況を生みやすくしていると考えられます。
(続編)
【パスワードの定期変更3】〜漏洩リスク対策としてのパスワード定期変更
(今後の執筆予定)
【パスワードの定期変更4】〜パスワード定期変更のコストとメリットの評価について
【パスワードの定期変更5】〜まとめ
複数のサイトで同一のパスワードを使用していた時の考察をもう少し踏み込まれるべきでは?
それとも、三以降で解説するのですか?
@sudo rm -rf /
ご提案ありがとうございます。
この点についてNo.3 でもいくらか言及していますが、ご期待に沿う内容かはわかりませんので気になることがありましたら是非またコメントをいただけますと幸いです。