カレンダー

2018/03
    
       

広告

Twitter

記事検索

ランダムボタン

パスワードは変えるな

by 唐草 [2018/03/30]



 「パスワードを頻繁に変更する必要はない」。先日、総務省からこのような発表がなされた。この情報を耳にして驚いた方も少なくないだろう。今までは頻繁に変えろと言われていたのに、なんで180度方向転換したんだと戸惑った方もいるだろう。あと、役所がこんなことを喚起することにびっくりした人もいるかもしれない。
 ぼくは、長らくパスワード変更不要説を唱えていた。だからこのニュースを聞いたときは、ようやく時代がぼくに追いついたという感想しかなかった。
 ぼくがパスワード変更不要説を唱えていたのにはちゃんと理由がある。ノーヒントでパスワードを破るのであれば、コンピュータの速度を利用したブルートフォースが今でも有力だ。要するに総当たりの力業である。総当たりをする際は、「0000」から順番にアタックをするわけではない。基本的にランダムな値を試していく。つまり、運がよければ変更していないパスワードが総当たりの最後になる可能性もある。その逆に、変更したパスワードが運悪く次の乱数と同じになる可能性だってある。要するにサイコロの前では、何度変えても確率的な安全性はほとんど変わらないのだ。これが、ぼくが変更不要と考えている理由である。
 でも、今回の発表はこれとは違う理屈で発表されている。ぼくが考えるよりもずっとお粗末な理由なのである。いくつかの理由があるが、代表的な理由を挙げておこう。
 
1.何となく決めていた
 パスワードを頻繁に変更せよというルールは、まだコンピュータが広く普及する前にアメリカで制定されたルール。制定の理由は、変えた方が安全そうだからという直感に基づいていたらしい。制定した人が、この考えはコンピュータを理解する前に作ったルールで適切ではなかったと認めている。
 そう、頻繁に変更せよというルールは、根拠無く何となく決めていただけだったのだ。
 
2.変更すればするほどダメになる
 「何となく決められたルールだった」なんて衝撃の告白を知らずに、頻繁にパスワード変更を要請してくるコンプライアンス重視なサービスは多くる。多くの利用者がパスワードを強制的に変えさせられていたのだが、変える回数が増えれば増えるほど雑なパスワードを設定しがちであるという研究結果が明らかになった。
 ようするにパスワード変更は面倒なのだ。変更を促されると、他と同じパスワードにしてしまったり、「1234」みたいな単純なフレーズにしてしまいがちなのだそうだ。結果、変更前より危険な(辞書攻撃に弱い)状況に自ら陥ってしまうのである。
 
 そんな訳で、総務省がわざわざ今回の発表をしたのだろう。
 変更するのは、流出や不正アクセスの疑いが生じてからで十分。むしろ頻繁に変えて分からなくなる方がずっと問題。