パスワードを忘れた? アカウント作成
9791622 story
セキュリティ

「パスワードの定期的変更」は基本的には無意味 87

ストーリー by hylom
近年では管理するパスワードの数も増えるいっぽう 部門より

あるAnonymous Cowardのタレコミより。セキュリティ研究家の徳丸浩氏が、「パスワードの定期的変更は無意味である」という理由について語っている(パスワードの定期的変更について徳丸さんに聞いてみた(1)パスワードの定期的変更について徳丸さんに聞いてみた(2))。

アカウントのセキュリティ対策の1つとして、パスワードを定期的に変更するというのは昔から提唱されている。OSによっては、パスワードの変更後一定期間経つと強制的にパスワードの変更を求めるものもある。しかし、徳丸氏によると、このような一定期間でのパスワードの変更はあまり意味が無いという。

パスワードの変更に意味があるのは、攻撃者にパスワードが漏洩した後、その攻撃者が長期にわたってそのパスワードを使ってアカウントを監視し情報を盗み取るようなケースのみだという。それよりも、12文字以上の長いパスワードを使うことや、パスワードの使い回しをしない、二段階認証などセキュリティ的に強固な認証機構を利用する、といったことのほうが重要であると述べられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「パスワードを変えたら入れなくなったから何とかして欲しい」という相談に対応させられるのにはうんざり。パスワードは何だったかと聞くと、あやふやな答えが返ってくる。こうなると「パスワードはメモしてディスプレイに貼っとけ」と言いたくなる。だいたい、覚えやすくて十分な強度がある程に長くて複雑な「良い」パスワードを、定期的に変えろと規則を作って挙句に「メモするな」とか、理不尽な要求してるんじゃねぇ。(最近はその上「使いまわしするな」とさえ要求する) しばらく使わなかったら忘れるだろ。一般のユーザーの目線で考えろ。
    良くしたもので、システム自体、パスワードの変更でよくトラブる。怒りを覚えて電話をすると「入力を間違えたんじゃないですか」と平気で言ってくる。
    マイクロソフトのある研究 [microsoft.com]によれば、

    6. Change it often

    Rule 6 will help only if the attacker waits weeks before exploiting the password. So this amplfiies the burden for little gain. Only if it is changed between the time of the compromise and the time of the attempted exploit does Rule 6 help.

    とある。確かに、定期的に変更しなけりゃいけないほどやたすくクラックされるほどセキュリティーに信用のおけない(パスワードの複雑さを含む)システムなんか最初から使うなと言いたくなりますね。「パスワードをクラックされても変えればOK」って、根性が腐ってる。そもそも、共有パスワードなんて最初からセキュリティー的に低いのでアウトだし、「異動・退職した人間がアクセスできないように定期的に変える」とか言ってるようじゃ、沈没状態。

  • 自社の基準 (スコア:2, 興味深い)

    by Anonymous Coward on 2013年08月12日 18時40分 (#2439514)

    以前から「意味が無い」と言って来ているが、「それを入れないとISMS継続できない」んだそうだ。

    • by JULY (38066) on 2013年08月13日 11時22分 (#2439935)

      定期的に変更しなくても、パスワードの複雑性で担保しています、と言って OK だった。ただ、そのパスワードを複数の人で共有しているなら、定期的に変更するか、メンバーの出入りがあったときに変更しないと、とコメントはされたけど。

      どっちかというと、「ルールをどういう理由で決めたのか」、ということと、「そのルールがきちんと運用されているか」、が ISMS のポイントで、具体的に「こうしてないとダメ」という事は、あんまり無いと思うなぁ。

      親コメント
    • by fukapon (4131) on 2013年08月13日 0時46分 (#2439727)

      ISMSの審査は乱暴に言うと、決めたルールが守られているかの審査と聞きます。
      そーゆールールを定めたのがいけませんな。まさに「自社の基準」に問題あり。

      親コメント
      • by Anonymous Coward on 2013年08月13日 13時43分 (#2440056)

        本筋からそれるけどISMS対策はものすごい事前準備がかかって生産性落ちまくる。
        自分たちの決めたルール以外にもどうでもいいようなことを指摘して即答できないとセキュリティに難あり!って決めつけて
        その対策をすぐに出せなんて言ってくる。
        企業の規模が大きくなればなるほど割かれる人員も増えるし、ISMS監査が仕事をするために仕事を作ってるようなもんだよ。

        親コメント
        • by fukapon (4131) on 2013年08月13日 16時52分 (#2440248)

          凄いよね、あれ。
          監査を受ける側にしても、監査対応って仕事を作るためじゃねーの? って感じるほど。

          ISMSに限った話じゃないんだけど。ISOなんちゃら全般に...

          親コメント
      • by Anonymous Coward

        無意味なルールを押し付ける理由に使ってるだけでしょ。

    • by Anonymous Coward

      論理的でしかない主張ってのは、常識や多数派の前には無力なんですよね。

      今回の件にしても時勢の論調が変化してこそある程度の支持を得られるのであって、
      10年前ぐらいに技術者相手に同様の議論を吹っかけても袋叩きに遭うのがオチだったと思います。

  • by Anonymous Coward on 2013年08月12日 20時16分 (#2439578)

    定期的変更、無意味だと思うんだけど、会社の情報管理部門に聞くと、
    これを規則に入れないと、プライバシーマーク認定してくれないんだそうな。(´・ω・`)

    そのくせ、社内ネットワークに平文でパスワード垂れ流すプロトコル使うほうはお咎めなしとか。

    わけがわからないよ!

    • by Anonymous Coward

      プライバシーマークは完璧なセキュリティを求めているわけではないからね。
      どこまで管理してどこまで妥協(リスクを受容)するかをちゃんと決めて運用すれば認定もらえる。
      まあユーザはどんな認定証であろうがなんとかセレクションと同レベルと考えて自己防衛するしかない。

  • by frea (6286) on 2013年08月13日 17時22分 (#2440275)

    パスワードに誕生日を設定した上で、数字4桁で銀行と同じだから大丈夫って態度とられたことが。

    そのパスワード10000通りじゃなくて、366通りしかないですから。
    しかもそのうち1つは1/4の確率しかないですなら。

    #クリスマスとかバレンタインの10カ月あとの数値がヒットする確率たかいたか…あったりして…

  • パスワードをマメに変更すると言うことは、覚えきれないので
    どこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。
    となれば、その紙だのデータだのそのものが漏洩しやすくなる。

    一度パスワードを決めたら動かす必要がない、というほうが安全。

    未だに銀行のネットバンキングにログインすると
    「パスワードが長期間更新されていません」
    とか出る。何かあったときの責任逃れのためかとすら思える。

    • 一番最後の文字を"1"にする。
      expire されたら"2"にする。
      さらにexpireされたら"1"に戻す。
      なんて余計な作業が発生するだけだったりしますね。

      親コメント
      • by Anonymous Coward

        「直前3回までに使用されたパスワードは使用出来ません」

        #そして0→9のループが始まる

    • パスワード変えろとか言う前にやって欲しいことがある。
      ネットバンキングを扱っている銀行によってこんなに違うわけです。
      ・英数字+記号(# $ + - . / : = ? @ [ ] ^ _ ` | )が使える
      ・英数字大文字小文字区別
      ・英数字区別なし
      ・数字のみ

      数字のみなんてホントいいのかって思いますよね。
      親コメント
      • ジャパンネットバンクは8文字しか使えません。
        なんとかしろと。

        親コメント
        • by Anonymous Coward

          取引に関してはワンタイムパスワードのハードウェアトークンの運用でガードしているという立場ではないでしょうか。
          確かに、ログインできてしまうと通帳の中とかはぞかれまくりのような気はしますが、そこから先には進めないはずです。

          # パスワード運用をするなら、もっと長いパスワードを使わせろ、という点については同意です。
          # あるいは、ログイン自体用にもう一本ワンタイムパスワードのトークン出してくれるとか(で、どっちがどっちかわからなくなったりして。笑)。

      • by Anonymous Coward
        パスワードだけの分かりやすい国際標準なり、RFCなりないんですかね。
        ちょっと調べただけでは分かりませんでしたが、そういうのがあって、国とかが銀行に対して一斉に対応しろと指示すれば簡単なんですけどね・・・。
    • >どこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。
      >となれば、その紙だのデータだのそのものが漏洩しやすくなる。

      それは定期的変更とは関係無い。

      各サイト毎に全て異なるパスワードを使ってれば、
      (そしてそれは適切なパスワード運用に必要不可欠だが、)
      普通は既に紙のメモを金庫に入れるなり、暗号化した
      テキストファイルをUSBメモリに入れるなりして管理してるでしょ?

      >未だに銀行のネットバンキングにログインすると
      流石にネットバンキングは別格でいいと思うよ。
      財産がかかってるから。

      親コメント
    • >何かあったときの責任逃れのためかとすら思える。

      それは大いに感じるが、某ネットバンクではパスワード長が最大8桁なので、万に何十かの確率でやられるかも知れない。
      仕方ないので不本意ながら指示に従って変更しています。
      「指示通りに変更していたのだから利用者の過失はない」というためのアリバイ作りですな。
      なんだかなあ。。。

      親コメント
    • それでOTPなんてのもあるわけだけど、それを送る先のメールアドレスとして、PCはセキュリティが弱いからケータイにしろと言ってくる銀行がある。そういうものなのだろうか。
      OTPの送信先メールアドレスをケータイにしないと、振り込み上限金額なんかの制限が厳しくなるんだけど、謎なのはOTP使わないサービスまで制限が厳しくなること。

      ちなみにその銀行、もうメール使ったOTPは諦めたのかトークンに切り替えるそうだけど。

      • by Anonymous Coward

        PC向けにメールで通知するタイプのOTPに関しては、それを読み取るマルウェアによって実際に被害が出ている [naver.jp]ので…

  • by s02222 (20350) on 2013年08月12日 18時14分 (#2439499)
    パスワードのハッシュが書かれた/etc/passwdにアクセスし放題だった時代の後半辺りに、「パスワードは定期的に変えないとだめです」という文化が生まれてそのまま神話となって生き続けてるとかじゃないかと推理。
    • by Anonymous Coward

      「パスワード漏洩事故が怖いという問い合わせが多くて困る。 とはいえコレで大丈夫という機能要件を出すこともままならぬ。 これ一休よ。金をかけずになんとかするのじゃ」
      ポクポクポクチーン
      「定期的に変更すれば安全だと説明しましょう」

  • by Anonymous Coward on 2013年08月12日 18時20分 (#2439500)

    なんかちょっと前に/.で以下のURLを見たなぁと思ったけど
    検索するのも面倒なのでURLだけ貼り逃げ。

    実際、パスワードはどれくらいの頻度で変えるべきですか?
    http://www.lifehacker.jp/2012/12/121217changepassword.html [lifehacker.jp]

  • かと言ってそれに代替しうる効果的かつ汎用性の高い認証方法ってまだ世に出てきてないんですけどね。

    --
    一人以外は全員敗者
    それでもあきらめるより熱くなれ
    • by Anonymous Coward

      漢字使える様にすれば?表意文字なら長くても覚えやすいんじゃない。

  • by qwerty (20776) on 2013年08月12日 21時23分 (#2439623) 日記

    ・期限切れアカウントを棚卸して一時無効化できる

    ・期限切れアカウントで通常ログインが決して出来ないシステムなら
        長い間使用しないアカウントを自動で無効化できる。
        (期限切れ後のログインで、期限切れ後n日(ある程度短め)はパスワード変更を要求し、
          それを過ぎたらログインもパスワード変更も通常手段では無理として
          自動的に無効となるようなシステムも含む。)

    ただ、頻繁すぎる変更要求はムカツクので1年~半年間隔程度にしてほしい。

    --
    [Q][W][E][R][T][Y]
  • むしろ変更よりも2要素にしてほしい

    # 短期間でも変更するまでの期間があれば、データとれちゃうし、長期化しないだけで同じじゃないか...
    # だったら根本的には(ショルダーハック程度では)アクセスできなくなる2要素がいいよ...

    社内に閉じたものであれば、(権限ありのひとの退社などもあるので)一定の特性は認めるんだけど。

    あと、社内でさらに個人に閉じるのであれば、長いパスワード必須にするだけでいいよもう。

    # てか使い回しチェックのほうがリスクになるじゃんか(パスワードリスト化されうるという意味で)

    ぶつぶつ...

    --
    M-FalconSky (暑いか寒い)
  • セキュリティを本業とする人達の理屈では一般に有効と考えられているのかどうか知りたいな。
    タレコミのリンク先は読んだけど、他の人達の考えはどうなんだろう
  • by Anonymous Coward on 2013年08月12日 18時26分 (#2439507)

    不正アクセスが疑われるときだけでいいでしょう。
    その代わり、ログインの失敗数やこれまでにログインした時間などをきっちり監視できるようにするほうがまともだと思う。

    • by Anonymous Coward

      そのときが分からないから定期的に変えるのでしょう

      漏洩で失敗数0かもしれないし、時間チェックも当然監視もれはある

      顧客情報ン万人がパスワードとともに流出!それに企業が気づいたのは一年前!
      とかだったらもし定期的に変えていて、かつ犯人にアクセスされる前なら
      防げるわけですし

  • by Anonymous Coward on 2013年08月12日 18時29分 (#2439508)

    覚えきれなくなるよりはましかな

    • by Anonymous Coward

      ほとんどの人は8~12桁のパスワードを30個も用意しておけば余裕で足りるだろうから、
      覚えきれなくなることは無いと思う。

      • by Anonymous Coward

        おれ平均以下だから360桁の記号列は覚えられそうにない。

  • by Anonymous Coward on 2013年08月12日 18時50分 (#2439517)

    の話でしょう。
    現実として殆どの人がパスワードを使いまわしている上、パスワード流出がしょっちゅう起こり、また気付かれない流出もあるかもしれないと考えると、定期変更は一定の効果はあるでしょう。

    かく言う自分は数種類の使いまわしの上、定期変更もしてないですけど。

    • どっちかというと優先順位の問題で、

      • パスワードの使い回しをやめる。
      • パスワードの定期変更をする。

      のどっちにエネルギーを投入した方が効果的か、というと、パスワードの使い回しをやめる方が高いし、今時ならパスワード管理ソフトもあるし、決め方を工夫すれば完璧ではなくても、かなり安全性が高いパスワードを使える、ということじゃないかなぁ。

      パスワードの決め方は、オリジナルがだれの発案だったか忘れちゃったけど、

      1. とりあえず、ある程度の長さのランダムな文字列に近いパスワードを一つ、必死に覚える。仮に「ee.n4Ohb」を覚える。
      2. 利用するサービスにちなんで、思いさせそうな文字をいくつかピックアップする。例えば、ここなら「s」「d」
      3. 自分なりのルールで前述の文字を、最初に覚えたパスワードに挿入する。例えば、5 文字目と最後に挿入して「ee.ns4Ohbd」

      といった具合に決めれば、ある程度、普段から使うサービスに対するパスワードは覚えていられます。

      親コメント
    • by Anonymous Coward

      それは使い回しが悪で定期更新しないのが悪ではない

      と書かれている

    • by Anonymous Coward
      >また気付かれない流出もあるかもしれないと考えると

      おいおい、「パスワードは定期的に変更したほうがいい(とされている)」という事は犯罪者側にとっても常識なんだから、パスワードを入手できた時点でできるだけ早く悪事を働くはず。

      確かに「一定の効果」はあるかもしれないけど、その「一定」はものすごく小さいんじゃないかな。
      • by Anonymous Coward

        「一定」にあたるものは長期的に情報を盗聴したい。という目的ぐらいしか本当思いつかない

      • by Anonymous Coward

        実際にはパスワードを使いまわす人や定期変更なんてしない人が大多数なんですよ。
        「パスワードは定期的に変更したほうがいい」は所詮理想に過ぎない。

        実際は流出したパスワードがpastebinだとかWinnyに流れたりして、それを色々な色々なサービスで試す人がまた別だったりする。
        Twitterで流出したパスワードが例えばMixiの様な各国ローカルなサービスで試されるには一定の時間がある訳です。
        或いは、クラックやパスワード入手までをゲームと考えていて、実際に不正行為や利益目的に用いずパスワードを晒すだけのクラッカーもいる。
        アカウントの(特

  • by Anonymous Coward on 2013年08月12日 18時59分 (#2439521)
    数値のみで 1から100までパスワード設定出来るとして、
    現在のパスワードが99だとして、攻撃者は1から順に100まで攻撃してくる。
    1つ試すのに時間がかかるとして、攻撃が40まで来た時に、偶然自分のパスワード変更時期がきて、これまた偶然40以前に変更したら、大成功!!
    でも41に変更してしまったら、変える前ならまだまだバレなかったものが即バレる。
    この場合、結局パスワードは100通りで変更しようがしまいが1/100の確率で必ずヒットする。
    文字数を増やして分母を増やす意外にパスワードを強化する方法はないってことだよね。
  • by Anonymous Coward on 2013年08月12日 19時19分 (#2439530)

    いままで意味ないと思っていたけど、このブログを読んで逆に意味あったんだなって私は思ったのだが、大半の人は「基本的に無意味」って理解なんですかね。
    確かに無意味と思われる定期変更の要請が現状では多いと感じるけど、ケースバイケースでしょ。タイトルやストーリーは煽りすぎじゃないか?

    #このストーリーのように特定のケース"のみ"と取るかどうかの違いなのかな。

    • パスワード長や二要素認証といったほかの強化なしで、今のままで運用していたら定期変更もまったく無意味ではない、くらいだと思ってます。
      "基本的に"より強固な認証方式にしろ、と。

      単純に無意味といってしまえばパスワードの定期変更が失われるだけでしょうから、タイトルだけだと確かに言いすぎな感もあります。

      # ただ、パスワードの定期変更によって起きやすくなる使い回しの問題などが大きいなら、単純になくなったほうがいいのかも。
      --
      にゃー。
      親コメント
    • by Anonymous Coward

      同意。例えば内部犯行についてはどうか?「「攻撃されている」ことをトリガーとして変更」というが、「攻撃されている」とわからない攻撃はどうするのか?とか、例外は消せないよね。

      • by Anonymous Coward

        > 例えば内部犯行についてはどうか?

        内部犯行の場合は、定期的変更はほぼ無意味でしょ。
        たぶんバックドアも植えつけられてて、パスワード変更しようが何しようが、やり放題ですよ。

        > 「攻撃されている」とわからない攻撃はどうするのか?

        くだんのページに『サイト側も気づかない「完全犯罪」の可能性が高いわけです。
        この場合は、攻撃者が再度攻撃すると、パスワードを変更していても防御できません』
        って書いてありますよ?

        • by Anonymous Coward

          バックドア植え付けられるようなケースばかりでもないでしょう。
          素人さんのショルダーハックなどかもしれないし。

          労力に比した効果が得られないというだけで、
          無意味なんてことはないと思うんですけどね。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...