パスワードの定期変更について
パスワードの定期変更をやめるべき理由を整理したい。
僕は数年前にとある企業ネットワーク内の認証基盤を構築した。
その時僕が設計したIDのパスワード運用は、定期変更を促す機能が実装されている。
その時は推奨される対策だったのだ。
いまやそのIDは様々なシステムに連携され非常に重要なものになっている。
そして認証情報を狙うサイバー攻撃は日々変化しており、パスワードの運用も時代にあわせ見直していくことが必要なのだ。
定期変更はもうするべきではない。
最近たまたまステークホルダーと雑談していてその話題となり、定期変更はやめるべきと進言した。人は定期変更を促すと安易なパスワードや他と同じパスワードをつける傾向があり、辞書攻撃やリスト型攻撃には逆に脆弱になるというのが僕の理解だ。
しかしそのステークホルダーは説得できなかった。
僕の説明も悪かっただろう。しかし、たぶん一番この話が理解されない原因は、定期変更自体は決して悪いことではないからだ。意識高く、毎回複雑なパスワードを設定していればそれはとても良いことだ。
なぜ定期変更をやめるべきか。
- NIST Special Publication 800-63B
openid-foundation-japan.github.io
去年から定期変更の議論が活発になったのはこの文書が出たからだろう。
NIST(アメリカ国立標準技術研究所)という、アメリカ合衆国商務省配下の技術部門が公開したDigital Authenticationに関するガイドラインだ。
リンクは、それを日本のOpenIDFoundationが翻訳したものだ。
この
5. 認証器及び検証主体の要求事項
5.1. 認証器タイプ毎の要求事項
5.1.1. 記憶シークレット
に
「検証主体は、認証器が侵害されている、または加入者が変更要求を行った証拠がない限りは、記憶シークレットを任意で(例えば、定期的に)変更するよう要求すべきではない(SHOULD NOT)。」
という記述が入っている。
この末尾にSHOULD NOTとかSHALLとかついてるのはこのガイドライン独特の記法で以下のような意味だ。
SHALL(するものとする)/SHALL NOT(しないものとする) | 刊行物に厳密に従うことを要求しており、内容と異なってはならない。 |
SHOULD(すべきである)/SHOULD NOT(すべきではない) | いくつかある選択肢の中で特定の推奨があることを示しており、他の選択肢については言及も除外もしない。ある行動指針を推奨するが、必須であることまでは要求しない。(否定の意味では)ある選択肢または行動指針を非推奨するが、禁止はしない。 |
MAY(してもよい)/NEED NOT(しなくてよい) | 刊行物の範囲において、行動指針が許容できることを示す。 |
CAN(できる)/CANNOT(できない) | 可能性や、能力があることを示す。その対象が物理的か一時的かにはかかわらない。 |
定期変更の要求はSHOULD NOTなので、禁止ではないが非推奨だ。
その根拠はなにか。
- 米ノースカロライナ大学の研究
https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf
これ・・が根拠になった論文のようだがちょっとこのまま読むのはつらいので要約したブログがこれだ。
まとめると以下のとおり。
確かに本気で標的にされたら、パスワードを定期的に変更しても追随してパスワードクラックができる可能性が高いのはわかった。
でも定期変更を積極的にやめる理由にはなっていない気がする。
定期変更の効果はさほどないというだけだ。
ただ、記事の下のほうに以下記述があった。
パスワードを変更する必要があることを知っているユーザーは、強力なパスワードを選択しないで、パスワードを書き留める可能性が高いことを示す証拠があります。研究私はカーネギーメロン大学の同僚や学生との働いていた(リンクは外部にあります)、CMUの学生、教職員、およびCMUのパスワードポリシーに煩わしさを感じたスタッフが、煩わしさを報告しなかった人よりも弱いパスワードの選択に終わったことがわかりました。私はこれに関連することができます:ログインしようとしているときに突然パスワードを変更するように求められたときに、強力なパスワードを思いつくために多くの努力を払うつもりはありません。パスワード期限切れポリシーがユーザーの行動に与える影響を実証した管理調査はまだありませんが、これらのポリシーは逆効果である可能性があります。
・・・実証されてないんかい!
と突っ込みつつ、、調査報告はpdfがついていた
ちなみに昨年10月頃MicrosoftのOfficce365管理センターでもパスワードは無期限の設定を推奨する旨の文言がでており、その根拠としてマイクロソフトも
というガイドラインをあげているのだが、エビデンスはこのブログと、上述の調査報告pdfだった。
マイクロソフトもこれを根拠にしているのではしょうがない。
調査報告pdfの一部を読み取った要旨が以下。
正直全然読み取れなかったので、とりあえず研究-複数のパスワード という章をまとめた。誰か要約してほしい・・!
調べてはみたものの積極的に定期変更をやめる明確な理由はよくわからなかった。
定期変更によりユーザは安易なパスワードをつけがちという明確な実証結果がまだないので、NISTとしても「推奨しない(SHOULD NOT)」にとどめているのだろうか。
冒頭のステークホルダーを説得できる気はまだしないので引き続き調査したい。