記事をシェアする:

パスワードを頻繁に変更することは、常識的なアドバイスのように聞こえることはありませんか?コンピューター・セキュリティーの分野では、長い間、このアプローチが推奨されてきました。しかし、一般的なアプローチが、理にかなっているとは限りません。

実のところ、多くの専門家が、強制的で一方的なパスワードの有効期限切れは、実際は有害無益であると考えています。さらに、Microsoft社が Windows 10と Windows Serverのベースライン設定においてパスワードの有効期限設定を廃止するという最新ニュースを受け、この長年のセキュリティー対策を廃止するべきという声が一層大きくなりつつあります。

「パスワードの定期的な変更は、実施価値が小さく、古くさくて時代遅れの緩和策です」。Microsoft社はこの変更を発表するブログ投稿で、このように記しています。「ユーザーがパスワードの変更を強制されると、多くの場合は既存のパスワードに予測可能な小さな変更を加え、さらにはその新しいパスワードを忘れてしまったりもします。」

Microsoft社の変更は、2017年米国国立標準技術研究所 (NIST) の、パスワードのベスト・プラクティスに関する非常に大規模な、しかし見逃されやすい特別刊行物に従ったものです。この刊行物でも同じ推奨が行われ、認証コードの漏えいの証拠がある場合、または加入者から変更の要求があった場合を除き、「検証者は、記憶された秘密情報を恣意的(定期的など)に変更することを要求してはならない」とされていました。

パスワードは、肉やパンのように腐ったりせず、「消費期限」なども必要ないということがわかります。

パスワードの有効期限設定が必ずしもパスワード・セキュリティーにつながるわけではない

表面的には、パスワードの強制的な期限切れは、セキュリティー標準として理にかなっているように見えます。結局、パスワードはいつでもハッキングされる対象となり得ます。インターネット上には漏えいされた資格情報の膨大なリストが出回っており、クラッキング・リストで武装した脅威実行者の一歩先を維持しようとするために、ユーザーにログイン情報を定常的に変更させることは、論理的に見えるかもしれません。

しかし 10年以上前に、研究者はこの考えに公然と疑問を抱き始めました。パデュー大学の Gene Spafford氏は、2006年にこれを「情報セキュリティーの民衆の知恵」と呼びました。

パスワード有効期限切れに関する事例として、次のようなものがあります。管理者に、暗号漏えいしたパスワードを従業員が使用していると考える根拠がある場合、そのパスワードを90日ごとに変更しても、とうてい十分ではありません。そのパスワードは、直ちに変更する必要があります。しかし、資格情報に関連する既知の脅威がない場合、破損していないものをなぜ修正する必要があるのでしょう。

「なぜしないのか」の議論は、いっそう説得力があります。理論上は、頻繁に変更されたパスワードは、クラッキングされにくく、非常に安全です。実際には、頻繁に変更するよう強制されたユーザーは、いつものように、自分たちにとって楽な抜け道を思いつきます。彼らのパスワードは「HardToGuessPassword1」、「HardToGuessPassword2」、「HardToGuessPassword3」などのようなパターンに従います。

つまりパスワードは、時間の経過と共に推測が容易になっていきます。恥ずかしいことですが、一般的でもある、ユーザーのこのような習慣は、変形版の作成として知られています。

Dan Clements氏は、大規模なハッキングによって漏えいされた資格情報のデータベースの構築に何年もの時間を費やしたセキュリティーの専門家です。このデータベースは最終的に10億件を超えるレコードにまで膨れ上がりました。彼は、このデータを参照するといつも、次のことを目にしたと言います。

「人々は、パスワードを変更する際に、最後に数字を追加することくらいしかしていません。大文字を使用するよう強制されたら、最初の文字を大文字にします。」Clements氏は続けます。「記号を追加しなければならないときは、最後の文字として感嘆符を使用します。14文字の要件に合わせるため、3、4文字の数字をさらに加えて長くします。そしていつも、微調整されただけのパスワードが設定されます。これがいつまでも続いていました。」

パスワードの有効期限設定ポリシーはもはや終了

有効期限設定ポリシーを批判する研究も、いつまでも続いているようです。2010年、ノースカロライナ大学 (英語, 960KB) の研究者グループが、大規模なパスワードのデータ・セットを調べ、ユーザーの古いパスワードを入手できれば、そのアカウントに侵入することは容易であることがわかりました。彼らが調査したアカウントの 1/5近くについて、古いパスワードから5回未満の試行で、ユーザーの最新のパスワードを類推することができました。

パスワードに有効期限を設定することは善意のポリシーであるかもしれませんが、その有用性は実はずっと前に期限切れとなっています。NISTが2017年にパスワード標準を公開したとき、この組織はパスワード標準の設定において使いやすさとセキュリティーのバランスを取ることが重要だと記しました。結局ほとんどのユーザーは、仕事を済ませる方法を探ろうとするだけです。

NISTによると、「認証の使いやすさを評価することが重要です」。

Microsoft社の発表は、多くのアナリストから賞賛を受けました。Gartner社 VP Distinguished Analystの Avivah Litan氏はこれを「最も歓迎すべき一歩」であると言いました。しかし、古い習慣はなかなかなくなりません。彼女によると、多くの企業がこの新しいアドバイスを無視し続けているとのことです。

「パスワードからも、頻繁なパスワード変更とパスワードの複雑性をユーザーに課す非生産的なパスワード管理ポリシーからも、完全に転換しようとする企業は見られません。」と Litan氏は言います。

NISTやその他の機関が推奨する以下に記載する有効な習慣を実施することで、この悪い習慣を断ち切る方が簡単かもしれません。

  • 漏えいした既知のパスワードに特に注意を払った禁止パスワード・リスト
  • 連続する文字や繰り返しの文字に関する制限およびコンテキスト固有のパスワードに関する制限
  • 特殊文字を使用可能にすること。ただし、それらを使用する必要があるわけではない。
  • 多要素認証 (MFA) (英語)
  • クレデンシャル・スタッフィング攻撃の検知

ユーザーはパスワードの変更を求めないよう要求すべき

変更は大変です。Microsoft社はその発表で、多くの IT管理者がパスワード期限設定に執着している理由は、監査者がそれを要求するためであり、積極的に有効期限切れを発生させることで、監査レポートで評価されるからだと記しています。Litan氏は、結局、ほとんどの企業はユーザーが要求するまで切り替えを行わないと考えています。彼らは、プライベートではいち消費者として、パスワードの期限切れ問題から解放されたばかりの段階にあるからです。

「[これが] 消費者市場に根を下ろし始めるまで、企業で大きな変化は見られないと見込んでいます」と彼女は述べています。

【関連情報】
IBMのID管理とアクセス管理(IAM)ソリューションの概要はこちらから

【お問い合わせ】
メールでのお問い合わせはこちらから

【著者情報】


Bob SullivanBob Sullivan

Bob Sullivan氏は、経験豊かなジャーナリストであり、2008年 New York Times ベスト・セラー「Gotcha Capitalism」および 2010年 New York Times ベスト・セラー「Stop Getting Ripped Off!」など4冊の著書があります。プロフェッショナル・ジャーナリスト協会パブリック・サービス賞、ピーボディー賞、Consumer Federation of AmericaのBetty Furnessコンシューマー・メディア・サービス賞の受賞経験があります。MSNBC.com/NBC Newsに20年近く勤め、人気の消費者/テクノロジー・ブログ「The Red Tape Chronicles」の大部分の作成と執筆を行いました。ジャーナリストとして独立した現在も、CNBC.comおよびNBCNews.comの貢献者であり、消費者とテクノロジーの専門家としてNBCのTV番組に出演を続けています。Credit.comの寄稿者であり、不正、詐欺、経済について執筆しています。執筆記事はThe New York Times、New York Magazineなど多数のサイトにも掲載されています。


この記事は次の記事の抄訳です。
https://securityintelligence.com/articles/the-expiration-date-on-passwords-has-expired/(英語)

More IDアクセス管理 stories
2021-06-17

クイズに答えてスキルアップ! シリーズ3

今や知らないでは済まされないセキュリティー。セキュリティーに関する旬なトピックスに関する状況を、クイズ形式で学んでみましょう。2021年5月11日から、6月下旬にかけてIBM JapanのTwitterでお届けするこのク […]

さらに読む

2021-06-17

アセット・マネジメント企業におけるIBM IAM活用事例

クラウド・ベースのID管理でビジネスの俊敏さを向上 この企業は、Security as a Serviceで提供されるデジタル資産運用プラットフォーム向けの堅固なIDとアクセス管理 (IAM)ソリューションを求めていまし […]

さらに読む

2021-06-16

「己」を知り敵に備える: IBM X-Force Redのテストが明らかにする自社の弱点

孫子の兵法は「彼を知り、己を知れば百戦殆うからず」と述べている。これはサイバーセキュリティーの世界にも大いに通じるところがあるだろう。 「彼(サイバー犯罪者)」の状況については、日々様々なメディアで被害が報じられている。 […]

さらに読む