まさか「パスワードを定期的に変えていれば安全」なんて思ってませんよね?:ここがヘンだよ、セキュリティの常識
パスワードの定期変更って、正直なところメンドクサイですよね。これってホントに意味あるの?
皆さんの職場では、パスワードの定期変更ってまだやってますか? 恐らくやってますよね。しかも、嫌々やってますよね。別に隠さなくてもいいですよ、この際、素直になりましょうよ。
「パスワードの定期変更、めっちゃウザイ!」
はー、スッキリした。前から言いたかったんだ、これ。でも、こんなことを職場で堂々と言ったら、あっという間に情シスの怖いおじさんが飛んできて、「おう、こら、ケツの穴からマルウェア突っ込んだろか!」と激詰めされるので……まぁ、普通はされませんけどね。
ただ、冒頭であえて「“まだ”やってます?」ときいたのには、わけがあります。実はこの“パスワードの定期変更”、昔からセキュリティ専門家の間では賛否両論があるんです。しかも、最近では、否定論の方に分があったりして。
いや、パスワードの定期変更が「まったく無意味」というわけではないんですよ。たとえパスワードが漏れたとしても、それを変更さえしてしまえば不正利用ができなくなるわけですから。定期変更をすること自体は、本来はセキュリティ強度を上げることはあっても、下げることはないはずです。そう、本来なら。
ここで胸に手を当てて、よーく思い出してみましょう。私たちは普段、一体どうやってパスワードを定期変更しているでしょうか? 先頭だけ大文字にする。弾かれる。末尾に数字を付加する。弾かれる。以前使っていたパスワードを試す。弾かれる。じゃあその1個前のパスワードを試す。通った。ラッキー! 3個前のパスワードなら通っちゃうんだ。いいこと分かっちゃったから、みんなに教えてあげよう!
……ああ、なんて人類は愚かな生き物なのでしょうか! これだけの探究心があれば、普通にランダムなパスワードを毎回振り直して覚えることだってできるでしょうに、なぜ易きに流れるのか……と神の視点から嘆いてみせても何も解決しません。ここはヒトの視点で、地べたを這いつくばって現実を直視しましょう。
実は、めんどくさがる現場にむりやりパスワードの定期変更を強制し続けると、セキュリティが強化されるどころか、
「逆にパスワードの強度が下がっていってしまう」
というのが、人間界におけるリアルのようです。残念ながら……。
それにそもそも、パスワードがいったん漏れちゃったら、たとえ定期的にパスワードを変更していても、次に変更するまでの間は不正利用され放題ですよね。第一、パスワードを一度盗むことに成功した“デキる”クラッカーなら、変更された後のパスワードも盗みに来るはずだし、そのときまだ気付かれてなければ、まぁ、また盗まれちゃいますよね、たぶん。
というわけで、少なくとも“強制的な”定期変更は、メリットより副作用の方が多いのではないかという意見が専門家からも多く出ているのが実情です。というか、最近ではもう「パスワード認証自体が使えなくね?」という考え方が主流になりつつあるようで、多要素認証やら生体認証やら、パスワードに替わる認証方式の研究と実用化が急ピッチで進んでます。このあたりの事情については、後日あらためて紹介できればと。
関連記事
- 連載:「ここがヘンだよ、セキュリティの常識」記事一覧
- さらば、パスワード Slackも採用したパスワードレス認証とは
パスフレーズは使えない、2要素認証は面倒、パスワードマネジャーはもっと面倒……。そんなパスワード問題に打開策が登場? - もう、「パスワードを覚える」のは諦めませんか?
使うサービスは増え続け、それに伴ってアカウントがどんどん増えていくのにパスワードは使い回さず、サービスの数だけ用意せよ――。そんな時代のベストな対策は“諦める”こと? - パスワード不要、macOS High Sierraに管理者権限でログイン可能?
パスワードを入力しなくても管理者権限でログインできてしまう方法が、Twitterに投稿された。 - パスワードの定期変更、強制はダメ? その理由と1つの例外
最近、パスワードの定期変更に異を唱える流れがありますが、絶対に定期変更をすべき例外があります。それは……。 - 「みんなに管理者権限のパスワードを教えるぞ、その方が仕事しやすいだろ」
セキュリティの基礎をゆるーいクイズでおさらいする週末連載。何かとやらかしがちな会社員「茂礼手(もれて)課長」の“ITやらかし”をクイズ形式で出題していきます。今回のお話は、こっそりやってしまいがちな「IDの使い回し」について。 - 「パスワードだけ別メールで送れば安全」、それってホント?
メールでよく見かける「パスワードは後ほど別メールでお送りします」ってやつ、ホントに安全なの? - 安易なパスワードの2016年版ランキング発表、ユーザー啓発はもう限界?
安易なパスワードの筆頭格「123456」は約17%ものユーザーが使っていたほか、「123456789」「qwerty」などのパスワードが依然として上位を独占している。
Copyright © ITmedia, Inc. All Rights Reserved.