パスワードの変えどき

以下の文章は、Bruce Schneier による When to Change Passwords（初出は Dark Reading 2010年11月10日）の日本語訳である。

どれくらいの頻度でパスワードを変えるべきか？ 私はそうした質問をよく受けるが、それを言ってくるのは大抵、会社や銀行のパスワードの有効期限ポリシーに悩まされている人たち――ようやく今のパスワードを覚えたと思ったら、新しいパスワードを書き留めなければならないのに気付いている人たちだ。一体どれくらいの頻度だとより安全になるのか、彼らはそれを知りたがっている。

その答えは、パスワードが何に使われるかによる。

パスワードを変えることの欠点は、覚えにくくなることだ。だから人にパスワードを定期的に変えるよう強いれば、彼らは何年も同じパスワードを使える場合よりも覚えやすい――つまり推測しやすい――パスワードを選ぶ可能性が高い。よってパスワード変更ポリシーはそのことを考慮して選ぶ必要がある。

認証情報――パスワードに限らず、どんな認証情報であれ――に有効期限を設ける一番の理由は、無くしたり、盗まれたり、偽造されたりした認証情報が他の誰かに使われる期間を限定するためだ。会員カードが一年で期限切れになるなら、もし誰かがそのカードを盗むとしても、そのカードから恩恵を得られるのはたかだか一年である。それが過ぎれば、カードは使えなくなる。

これは、認証情報が生体認証――たとえ写真であれ――を含んだり、オンラインで確認されると重要でなくなる。クレジットカードやパスポートが有効期限を持つ重要性はさらに下がるが、それはデータベースのポインタほどそれを持参する人に結びついた書類でないからだ。例えば、クレジットカードのデータベースが、そのカードがいつ無効になるかを分かっていれば、そのカード上に有効期限のデータを載せる必要はない。しかし、有効期限には偽造が限られた期間しか有効でないという意味はあるわけだ。

パスワードも何ら違いはない。ハッカーが推測するなり盗むなりしてあなたのパスワードを手に入れれば、ハッカーはあなたのパスワードが有効である限りネットワークにアクセス可能になる。もしパスワードを四半期毎に更新しなくてはならないなら、それは攻撃者にとってのパスワードの有用性を著しく限定することになる。

少なくともそれが旧来の理屈である。それは、自分がそこにいると警告することなく長い時間をかけて盗聴するような受動的な攻撃者を想定している。しかし、今日では多くの場合その想定は通用しない。推測するなり盗むなりして銀行口座のパスワードを手に入れる攻撃者は、もはや盗聴はしない。彼はあなたの口座からお金を転送する――その後であなたはそれに気付くことになる。この場合、パスワードを定期的に変えることにあまり意味はない――不正アクセスが発生したらすぐにパスワードを変更するほうが極めて重要である。

プライベートネットワーク内でスパイ行為をはたらく人は人目を盗んでやる可能性が高い。しかし同時に、推測して盗んだユーザ認証情報に頼らない傾向もある。それより、バックドアのアクセスを組み込むなり、自分用のアカウントを作成するのだ。繰り返すが、ネットワークユーザに定期的にパスワードを変えるよう強いるのは、スパイが検知されたり排除されたすぐ後に全員にパスワード変更を強制することより重要度が低い――スパイには再び入ってきてほしくないのだ。

ソーシャルネットワーキングサイトはその中間あたりに位置する。Facebook ユーザに対する犯罪者の攻撃の大部分は、詐取したアカウントを使っている。「助けて！ ロンドンにいるんだけど財布を盗まれてしまった。どうかこの口座に送金してくれないかな。お願い」定期的にパスワードを変えても、この種の攻撃には役に立たないが――当然ながら――アカウントを奪還したらすぐにパスワードを変えなくてはならない。でも、妹さんが――あるいはあなたがセレブの類ならタブロイド新聞が――あなたのパスワードを手に入れたら、彼らはあなたがパスワードを変えるまで盗み聞きをするだろう。そしてあなたはそれに何ヶ月も気付かないかもしれない。

よって一般的には、コンピュータのアカウントやオンライン金融口座（小売りサイトのアカウントを含む）のパスワードを定期的に変える必要はない。安全性の低いアカウントならその必要はまったくない。会社のログインパスワードは時々変更すべきだし、どれくらいの頻度で Facebook のパスワードを変えるか決める前に、友達、親類、そしてパパラッチに厳しい目を向ける必要がある。だが、コンピュータを共有してきた人と関係を絶つのなら、パスワードをすべて変えること。

最後に二点。一点目は、このアドバイスはログインパスワードに関するものだということ。暗号化ファイルの鍵となるパスワードを変更する必要はない。それが信用できなくなったと思わないなら、そのファイルを保持し続ける限り同じパスワードでよい。そして二点目は、重要な――パスワードを登録、選択するよう要求してはいてもどうでもよいサイトのことは心配することはない――サイトの場合、パスワード変更よりも最初に良質のパスワードを選択するのがずっと重要になる。よって何か心配しなければならないとすれば、それを心配すること。そしてパスワードを書き留めるなり、PasswordSafe などのプログラムを使うことだ。