パスワードを強いて定期的に無効にすることの問題

英国電子通信安全局, CESG (Communications-Electronics Security Group)
(翻訳: 河本孝之 / Takayuki Kawamoto

Original document was appeared as “The problems with forcing regular password expiry” on 2016-04-11, and it was revised on 2016-04-15.
(now CESG become a part of NCSC and the entry will be available on: https://www.ncsc.gov.uk/blog-post/problems-forcing-regular-password-expiry);
1st appeared at www.markupdancing.net as a translation: 2016-04-21 11:43:26.
This usage of original document should follow the terms of the Open Government Licence v1.0. (Contains public sector information licensed under the Open Government Licence v1.0.)

*イギリスの政府通信司令部(GCHQ: The Government Communication Headquarters)に属している電子通信安全局。(以下、注釈は全て訳者のものです。文中では “[ ... ]” が訳注です。)

なぜ CESG は、長らく受け容れられてきたセキュリティ上の指針に反対しようと決めたのか

パスワードを一定の期間で有効期限切れにするという方法は、数多くのセキュリティポリシーにおいて当たり前のように要求されています。しかしながら、2015年に発行した CESG のパスワード・ガイダンスという冊子で、我々はこの方法にはっきりと反対するアドバイスを提案しています [“Regular password changing harms rather than improves security, so avoid placing this burden on users.”]。この記事では、我々がどうしてこういう(多くの人にとって)思いもよらない推奨事項を立てたのかを説明し、そして何故その推奨事項が正しいのかを説明します。

では、或るユーザのパスワードを知っている攻撃者によってもたらされる被害を、幾つかの対策を想定しながら、どのていど軽減しうるかを考えてみましょう。明らかに、管理者が強制して、現在のパスワードを攻撃者が知らない新しいパスワードへ強制的に変更すれば、漏洩したパスワードは無意味になります。この対策は、文句なしに十分なものに思えます。

しかし、ここで問題があるのは、この対策はユーザに不便を強いるという点を考慮していません。つまり、頻繁にパスワードを変更するよう強制するときの「ユーザビリティ上のコスト(‘usability costs’)」というものを無視しているわけです。大多数のパスワード・ポリシーにおいては、憶えておくのが難しいと思われるようなパスワードを使うように強制しています。なぜなら、パスワードはできるだけ長く、またできるだけ「ランダム」でなくてはならないからです。それに、一握りのパスワードであれば管理しやすいのですが、いまやオンラインで利用するパスワードはたくさんあって管理し切れません。

そして更に状況を悪くしているのは、大多数のパスワード・ポリシーではパスワードを変更し続けなくてはならなくなっているということです。すると、パスワードを変更するように強制してしまうと、人は得てして変更する前とよく似たパスワードを設定してしまうものなのです。

そういう弱点は、攻撃者に付け入る隙を与えてしまいます。

新しいパスワードは、どこかで既に使っているものかもしれないので、攻撃者はそういう弱点も突いてきます。また、新しいパスワードはありふれた単語で作られているかもしれず、それはパスワードの別の新たな脆弱性となります。更に、新しいパスワードは忘れやすいかもしれず、パスワードを忘れてしまうと、アカウントがロックされるのでユーザの生産性コストは上がってしまい、対応する管理担当者はパスワードをリセットしなくてはならなくなります。

ここには、ユーザがパスワードを強制的に変更させられる頻度が増えれば増えるほど、攻撃に対する脆弱性が全体として増えてしまうという、ふつうの感覚からすれば逆の事態が起こり得ます。これまでは問答無用に賢明とされ、長らく受け入れられてきた対策は、厳格でシステム全体にわたる分析の結果には耐えらえなくなっているのです。

事業者に対し、CESG では、定期的にパスワードを有効期限切れにしないよう推奨しています。そうすることで、ひとたび奪われたパスワードが長期にわたって悪用されるリスクを多少は引き上げるとしても、(既に述べたような)パスワードを定期的に無効にするような対策にかかわる脆弱性を低減すると信じるからです。攻撃者は、しばしば手に入れたパスワードを新しいパスワードへ変更してしまいます。そしてユーザは、別のパスワードへ変更するように強制されている場合、覚えやすくなるよう「弱い」パスワードへ変更してしまうことが多々あるのです。[ここで “weaker” を強調しているのは、攻撃者が新しく設定するパスワードよりも寧ろ弱いパスワードへ変更してしまうことがあるため、パスワードをいたずらに変更するのはリスクを増やすだけだという趣旨なのでしょう。]

CESG ではシステム管理者に対して、不正なアカウント利用を防ぐ効果が高まるような、他のもっと効果的な防御方法を検討するよう要請しています。例えば、システムの監視ツールを使って、ユーザがログインしようと試みた最新の情報を取得し、ログインに失敗したという記録が本人によるものかどうか自分で確認できるようにしています。こうすると、もしユーザが本当にログインを試みて失敗したのでない限り、その記録は他の誰かがユーザのアカウントにログインしようとした形跡かもしれず、ユーザ本人はその記録を管理者に検査してもらうよう簡単に報告できる筈です。こうした創意工夫が、安全にシステムを使い続ける可能性を高めて、ユーザにとって更にパスワードを運用しやすい環境をつくるのです。

パスワードの管理について更に知りたいなら、我々が発行した『パスワード・ガイダンス:シンプルに運用しよう(Password Guidance: Simplifying Your Approach)』を参照してください。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook