パスワードを定期的に変更させるシステム仕様には問題がある

by Yuri Samoilov

ネットサービスでは「アカウントの安全性を保つために、パスワードの定期的な変更をオススメします」という注意書きが記されていることがありますが、第三者によるパスワードの特定や不正ログインを防ぐには、「ユーザーにパスワードを定期的に変更させるべきではない」とイギリスの政府通信本部が発表しています。

The problems with forcing regular password expiry | CESG Site
https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry

「アカウントのパスワードを定期的に変更するべき」とユーザーに勧める仕様は、多くのネットサービスの情報セキュリティーポリシーで共通して見られます。しかし、イギリス政府通信本部の情報通信セキュリティ部門CESGが2015年に発表したパスワード運用ガイダンスは、定期的なパスワード変更に対して明確に反対しています。

パスワードが流出してしまった場合、パスワードを不正に入手した第三者による攻撃を防ぐには、アカウント所有者がパスワードを新しく変更し、以前のパスワードを無効化するのが最もいい方法であることは明らかです。しかし、パスワード流出に備えて、システム側がユーザーに何度もパスワードの変更を強制すると、サービスの利便性が下がってしまいます。また、大半のネットサービスでは、パスワードを特定されにくくするため、できるだけ長くランダムな文字列を設定する必要があります。10個程度のパスワードならばなんとか覚えることができますが、あらゆるオンラインサービスで複雑なパスワードを何十個も覚えておくことは不可能です。

パスワードポリシーの多くはユーザーに対してパスワードを定期的に変更することを強制していますが、実際のところユーザーは新しいパスワードを忘れないように、以前のパスワードや他のサービスで使っているパスワードと似通ったものを使用しがちです。悪意を持った攻撃者がこういったユーザーの特性を悪用し、アカウントに不正にアクセスする可能性があります。また、ユーザーが新しいパスワードをどこかに書き留めていると、同じく攻撃者の標的になり得ます。他にも、せっかく新しくパスワードを設定したとしても、パスワードを忘れてしまうと、ユーザーの生産性を落とし、さらにはサービスの提供側がパスワードの再発行をせねばならず、両者の負担が増えることになります。

by Perspecsys Photos

上記の理由から、パスワードを頻繁に変更しない方がよいとCESGは主張していて、「パスワードを変更する回数が多ければ多いほど、全体としての脆弱性が大きくなり、攻撃されやすくなってしまいます」とパスワード変更の危険性について警告しています。何度もパスワードを変更すると、新しいパスワードを忘れないようにするため、覚えやすい文字列を設定しがちで、パスワードの強度がどんどん弱くなっていくというわけです。

CESGは、「ユーザーに定期的にパスワードを変更することを強要しないように」と企業や組織に対して提案しています。パスワードを変更せず長期的に利用することで、パスワード変更に伴う脆弱性を減らせるとCESGは考えているとのこと。CESGでは、システム管理者に対して、「第三者によるアカウントへのアクセスを防ぐ効果的なシステム保護の方法を、パスワード変更以外の方法で考えるべき」と主張しています。例えば、システムモニタリングツールを使い、最後にログインしたユーザーの情報を表示すれば、ログイン失敗時の原因がユーザー自身か攻撃者なのかを突き止めることができます。原因がユーザー本人ではない場合、何者かがアカウントにアクセスしようとしている兆候かもしれないと分かり、ユーザーに容易に報告することができます。

by Chris Amelung

CESGが提案しているパスワード運用ガイダンスは、以下のPDFファイルから詳しく見ることができます。

Password Guidance: Simplifying Your Approach | CESG Site
https://www.cesg.gov.uk/guidance/password-guidance-simplifying-your-approach