実は"定期的なパスワード変更"は必要ない
■生活に根付いた「パスワード」の存在
アプリやウェブサービスがちまたにあふれ、身近な生活に浸透している。「あると便利な機能」だけでなく、銀行などの生活する上で「欠かせない機能」までもがインターネットにつながることが当たり前になってきた。それらを利用するには、利用者を特定するための本人認証を行う必要がある。
本人認証として一般的なのは、利用者にあらかじめ設定しておいたIDとパスワードを入力させる方法である。ビジネスにおいてもプライベートにおいても、少なくとも「1日1回は何かしらのパスワードを入力している」という人は多いのではないだろうか。それほどまでに生活に根付いたパスワードだが、昔からなじみがある暗証番号との違いは、数字だけではなくアルファベットや記号も使った「文字列」という点である。
インターネットはどこでも誰でもアクセスできることが売りだが、逆に言えば利用者の特定が難しくなる。
例えば銀行のATMであれば「キャッシュカードを持っていること」が本人である1つの証拠になるので、「暗証番号を知っていること」というもう1つの証拠との組み合わせで現金が下ろせる。一方、アプリやウェブサービスは「IDとパスワードを知っていること」だけで本人を認証するので、なりすましの防止のために暗証番号よりも複雑なパスワードの使用が求められるようになった。
■パスワードを忘れてイライラする日々
このようにパスワードが身近になった今、利用者視点で見ると次のような場面に一度は遭遇したことがあるだろう。
IDとパスワードをブラウザーの機能で保存しているために、普段PCからアクセスしているウェブサービスにスマートフォンからアクセスしようとしたらパスワードを思い出せない……。
サービスごとにパスワードに使える文字の種別や桁数の要件が異なり、どれに何を設定したのか忘れてしまう……。
パスワードを使いまわしていたのに定期的な変更を求められて違うパスワードを使わざるを得なくなった……。
このような場面の救済策として、ブラウザーの情報を複数端末で共有できる機能や、複数のパスワードを管理するアプリケーションなどもあるが、一般的にはサービス自体に「パスワードを忘れた場合」の対処法が用意されている。秘密の質問を聞かれたり、メールで送られてくるURLにアクセスし直したりして、パスワードを再設定するのだ。
急いでいる時にこれらの手続きはなかなか厄介に感じるものだ。いざ再設定しようとして「以前使用したパスワードは使えません」などと言われて、さらにイライラした経験がある人も多いはず。
■なぜ「定期的に変更」する必要があるのか
面倒に思えるパスワードの要件や再設定方法は、サービス特性や扱う情報の重要度と利便性が天秤にかけられて決まる。
確実な本人確認が求められる金銭が絡むようなサービスほど、これらの要件は込み入ったものにならざるを得ない。決して利用者を困らせるためにあるのではなく、サービスを安全に利用してもらうために致し方ないのである。
では、パスワードの要件に代表される「複雑性」、「使い回しの禁止」、「定期的な変更」はそれぞれどういった事象に効果的なのだろうか。
前提として、パスワードはインターネット空間を使って悪事を働く犯罪者からは狙われやすい情報のひとつである。犯罪者はあらゆるサービスのIDとパスワードの組を手に入れるために、よく使われていたり容易に推測が可能だったりするパスワードで、片っ端からログインを試みる。その際「複雑」なパスワードを利用していると、破られる可能性は低くなる。
もし、IDとパスワードの組が何らかの原因によって漏れ、犯罪者の手元に渡った場合、犯罪者はその情報を元に他のサービスへのログインも試みる。パスワードを「使い回さない」ことで、他のサービスへの影響を防ぐことが可能になる。また、情報が漏れてから悪用される間にパスワードを変更できればいいので、「定期的に変更する」ことも全く変更しないよりは効果を発揮する。
■定期的なパスワードの変更で見えた不都合
しかし、最近パスワードの「定期的な変更」を強制することで生まれる不都合が注目を浴びている。
複数のパスワードを管理しなければならない利用者としては、システムによって定期的な変更を強制されたとき、どうしても覚えやすいものを設定しがちである。前に設定していたものから数文字を変えただけのパスワードを設定している人は多いのではないだろうか。
例えば“Password1”というパスワードを設定していたとしよう。これを大文字小文字8文字以上などのさまざまな要件の下に変更するときには、“$”、“0”や“!”などの似たような文字に置き換えて、“Pa$$word1”や“Passw0rd!”といった一部を変えたものを使ってしまうのである。
一見複雑に見えなくもないが、これらの変換規則は犯罪者から見ても推測しやすい。もし過去のパスワードが知られてしまうと、変更後のパスワードは簡単に当てられてしまうだろう。これはある研究結果でも証明されている。
ノースカロライナ大学では3カ月に1度、強制的にパスワードを変更させていた。その教員や学生の過去のパスワードから変更のパターンをルール化し、直近のパスワードを推定するという実験が行われた。この結果によると、過去のパスワードがわかっている場合、次のパスワードの17%は5回以内の試行で推測可能で、対象者の41%のパスワードが3秒以内に特定可能であった。
つまり、定期的な変更を強制することで、ありがちな変換規則を使って次のパスワードを決める利用者が多く、結果的に犯罪者から破られやすくなる、という事態に陥ってしまうのだ。
■「込み入ったパスワード要件の移り変わり」
そもそも「パスワードは複数文字種を組み合わせて8文字以上とし、定期的に変更するべき」といったような基準はどこから生まれてきたのか。
これはアメリカ国立標準技術研究所という機関が作成したガイドラインが元と言われている。2003年に出されたパスワードセキュリティーに関する文書では「パスワードの定期変更を推奨する」という記述があったが、2017年に出された文書ではその記述に変化があった。
「パスワードが漏えいしたと思われる事態を除いて、パスワードの変更を強制するべきではない」というもので、今までの「パスワードの定期的な変更の推奨」を覆す内容であった。定期的な変更を強制して、推測可能な弱いパスワードを設定してしまうよりも、パスワードそのものの強度を上げることの方がセキュリティー的には強固であるという見解だ。
そこで、複数文字種を使って複雑性を高めて強度を上げる従来の方法ではなく、パスワード自体の文字数を長くする「パスフレーズ」という考え方が注目を浴びている。
従来の“P@$$w0rd!”のようなパスワードではなく、“watashi ha tokyo umare desu”(私は東京生まれです)といった文章(フレーズ)をそのままパスワードに設定するのだ。この例で見てみると、複数文字種で構成された9文字のパスワードは一見複雑で、推測が難しいように感じる。実際は、空白を含む小文字だけで構成された、27文字のパスフレーズの方が、犯罪者にとってみると、推測には計算上数十年から数百年かかり、困難だという研究結果もある。
■パスワードの定期的な変更からの解放!
パスフレーズが浸透してこなかった理由の1つとして、システムの仕様があげられる。
・設定できる文字数に上限がある(12文字、16文字等)
・空白(スペース)が使えない
こういった制限をかけているサービスは珍しくなく、複数文字種を使うことで強度を上げることが主流であった。
逆に、世の中の流れがパスフレーズに向くと、システム側は仕様の変更が必要になるだろう。文字数の上限を少なくとも64文字以上にする、空白を使えるようにする、といった制限の緩和に加えて、「ペースト機能を使えるようにする」のも重要だ。文字ペーストが禁止されていて、パスワード入力時に毎回20〜30文字をタイプする、というのは想像するだけで気持ちがなえる。
システムの改修が進み、パスフレーズが利用できるようになったとしても、複数サービスでの「使い回し」が危険なことに変わりない。いくら覚えやすいとは言っても、数十文字のパスフレーズを複数も覚えるのは現実的ではないかもしれない。それには複数のIDとパスワードを管理するツールも多く出回っているので、利用する際はツール自体の安全性を確認した上で活用いただきたい。
システムの改修にはある程度の時間を要することが考えられるが、いずれ「パスフレーズ」を利用できるサービスが主流になる。
相変わらず使いまわしやパスワード自体の管理には注意が伴うが、少なくともシステムから「パスワードの定期的な変更」を要求されなくなる日が来るのはそう遠くないはずである。
----------
セキュリティ コンサルタント
1989年、東京都生まれ。2014年、東京工業大学大学院理工学研究科修了の後、野村総合研究所に入社。同年、NRIセキュアテクノロジーズに出向。セキュリティ対策状況評価等のコンサルティング業務に従事。現在は、Secure SketCHのマーケティング担当として活動中。>>https://www.secure-sketch.com/
----------
(セキュリティ コンサルタント 森 茉莉香 写真=iStock.com)
