<パスワードの定期変更は必要ですか? > 問い直されるパスワード管理の安全神話
Amazonの台頭が出版・流通・物流のビジネスモデルを一変させたように、IT技術の進化はこれまで常識とされてきたルールを根底から覆します。ネガティブな面でもそれは同じで、サイバー攻撃者の技術進化と情報共有は、これまで情報セキュリティの推奨事項とされていた「パスワードの定期的な変更」さえもまったく無意味なものに変えようとしています。
米政府機関が正式にパスワードの定期変更を否定した!
NIST(National Institute of Standards and Technology/米国国立標準技術研究所)のITセキュリティ部門CSD(Computer Security Division)は、2017年5月に発行した『電子認証に関するガイドライン(文書800-63C)』において、「ユーザーが攻撃を受けた証拠がある場合を除き、認証側は定期的にパスワードの変更を求めるべきではない」と明記しました。(2017/5/23 Newsweek Web版)
NISTの文書は米政府機関のセキュリティ対策の指針となるため、今後、各種のオンラインサービスにパスワードの定期変更を求めないよう勧告し、公的機関や個人情報を扱う機関においても同様の措置がとられることが予測されます。また、Active Directoryのような組織内ユーザーの認証を管理する製品を出しているメーカーも、以後のバージョンでは「定期変更を行わない」を標準設定としてくる、または定期変更機能を取り除くことが予想されます。
NISTでは、2016年6月に発行したドラフト(下書き)の段階から、オンラインサービスでの「パスワードの定期的な変更」について疑問を示していました。イギリスでは、政府通信本部情報通信セキュリティ部門CESG (Communications-Electronics Security Group)が2015年発行の『パスワード運用ガイダンス』において、「パスワードの定期的な変更」を明確に否定しています。
現在の『Google アカウントヘルプ』においても、「アカウントのセキュリティを強化する」手順の中に「パスワードの定期的な変更」を推奨する項目は見あたりません。欧米のセキュリティ専門家の間では、“パスワードの定期変更はセキュリティ上の効果がない”という見解が統一されているようです。
NISTが発行した「800-63C/5.1.1.2. Memorized Secret Verifiers」において、「パスワードの定期変更は求めるべきではない」という文言が記載されています。
安易なパスワードの変更がセキュリティホールに
このように欧米の識者が、「パスワードの定期的な変更」を明確に否定する理由はどこにあるのでしょうか?
2016年8月に米ラスベガスで開催されたセキュリティ会議で、連邦取引委員会チーフテクノロジストのローリー・クレイナー氏は、ある興味深いデータを公開しています。
ノースカロライナ大学の研究チームが、「パスワードの90日ごとの変更」を求められた学生・教職員の約10000件のアカウントを調べたところ、7752人のユーザーに「以前使っていたパスワードを元に推測しやすいパスワードに変える」傾向が認められたというものです。
最も多かったのが、パスワードの末尾に数字を追加していく変更です。たとえば、<abcdef>というパスワードを使用していたユーザーは、90日後に<abcdef1>に、さらに90日後には<abcdef2>にシフトします。それ以外にも、パスワードの最初と最後の文字を入れ替えたり、同じキーワードを重ねるなど、対象ユーザーの大半が「自分が覚えやすい(つまり、容易に推測されやすい)わずかな変更」で対処していました。
これでは規則性が明確過ぎて、容易にパスワード・クラッキングを許してしまいます。実際に研究チームがパスワード解析ツールを使って調べたところ、変更されたパスワードの約40%が3秒以内に推測可能でした。しかも、サイバー攻撃者がパスワード・クラッキングに用いる解析ツールでは、4桁のパスワードなら10秒以内、6桁でも英文字だけなら1分以内にパスワードが解読できることが報告されています。
「パスワードの定期的な変更」が攻撃者にパスワード・クラッキングのヒントを与えるセキュリティホール(脆弱性)となるならば、「むしろ逆効果となる場合がある」とするのが、欧米の識者が至った結論です。
パスワード管理の落とし穴 “安全と安心をはき違えるな!”
「情報セキュリティは、時間の経過とともに新たに登場する脅威によって変わる」と、ローリー・クレイナー氏は警告しています。サイバー攻撃者は「以前使っていたパスワードを元に推測しやすいパスワードに変える」ユーザーの習性を突いて、読み取った規則性に基づきパスワード・クラッキングを仕掛けてきます。
安易なパスワード変更を行うユーザーに定期変更を呼びかけるだけなら、“指定されたセキュリティ対策を行っている”という間違った安心感をユーザーに与えるだけで終わってしまいます。進化するサイバー攻撃は、デバイスやネットワークだけでなくユーザーの意識の中に存在するセキュリティホールにも着実に狙いを定めているのです。
その意味では、オンラインサービスが行う「秘密の質問」などの二重のセキュリティサービスも、同じジレンマを抱えています。そこで問われる「好きな食べ物」などの質問は第三者に推測しやすく、「あなたの出生地は」などの質問はパスワードのヒントになりやすいため、NISTでは「パスワードを容易に推測される認証サービスは行うべきではない」と警告しています。
セキュリティ対策は、サイバー攻撃に対するカウンター・インテリジェンスとして機能します。NISTの勧告はオンラインサービス側にセキュリティサービスの見直しを呼びかけるものですが、同時にユーザー側にもこれまでの認識の変更を迫るものとなります。
きつい言い方になりますが、自己満足なパスワード管理は、進化するサイバー攻撃に対するセキュリティホールになるだけです。物理的な「安全」と心理上の「安心」は明らかに違うことを、しっかり自覚する必要があると考えます。
NISTが推奨する“物理的に安全”なパスフレーズの適用
それでは、どの程度のパスワード変更なら物理的な「安全」が確保されるのでしょうか。
ローリー・クレイナー氏は、「ユーザーがパスワードの文字列を長くしたり複雑にしやすくして、長く利用できるようにするほうが良いかもしれない」と提案しています。これに基づき、NISTでも「最低64文字でスペースも含むパスフレーズの適用」を推奨しています。
「パスフレーズ」とは、1単語で構成されるパスワードに対して1フレーズ(1文節)で構成される文字列のことです。複数の単語で構成されるため、パスワード・クラッキングに対して非常に有効な対策となります。以下に、覚えやすい64桁の「パスフレーズ」を作ってみました。
Watashi ha sikini megumare shizen mo yutakana nihon ni umarete shiawasedesu.
(私は、四季に恵まれ、自然も豊かな日本に生まれて、幸せです)
さらに、「安全」性を高めるために、パスワード設定の鉄則である「英文字(大文字と小文字)、数字、記号の組み合わせ」を適用し、英文字を形の類似する数字に置き換えてみます。
Watash1 ha s1k1n1 megumare shizen m0 yutakana n1h0n n1 umarete sh1awasedesu!
パスワードの文字列の解読時間は、8桁以上の「英文字(大文字と小文字)、数字、記号の組み合わせ」では1000年の時間を要することが報告されています。ここまでやれば、「安全」なパスワード管理を実現することができそうです。
「安全」と「安心」を両立させるパスワード管理
NISTの勧告に基づき、今後はオンラインサービス側から「定期的なパスワードの変更」に代わって「パスフレーズ」の入力が求められてくることが予測されます。
しかし、1人のユーザーが複数のオンラインサービスを利用する状況下でサービスごとに「64文字でスペースも含むパスフレーズ」を設定し管理していくことは、大変な労力を要するものとなります。せっかく「安全」なパスフレーズを設定しても他のログイン認証にも使い回してしまったら、再び自己満足なセキュリティホールに陥ることになってしまいます。
オンラインサービスのセキュリティ対策は、物理的な「安全」とともにユーザーが「安心」して使える仕組みがなけば徹底されません。
弊社が提供する企業向けIDアクセス管理クラウド「トラスト・ログイン」は、それぞれのオンラインサービス間でユーザの認証・属性・認可情報を交換することで物理的に「安全」なログイン認証を成立させる「IDaaS (クラウド型ID管理・シングルサインオンサービス)」です。
ユーザーは「トラスト・ログイン」のマスターパスワードに「64文字に近づけたパスフレーズ」を設定するだけで、複数のオンラインサービスを利用できます。そして、トラスト・ログインで管理する各種クラウドサービスの認証にもパスフレーズを用いることで、強度を高めることが可能となります。ただ、現時点でクラウドサービスの多くはパスフレーズに対応していないため、注意が必要です。例えば、「文字数の長さに制限がある」場合や、「パスワード/パスフレーズにスペースを使うことを認めていない」場合などです。
「安心」してオンラインサービスを楽しむためにも、この機会に「トラスト・ログイン」をお試しいただければ幸いです。
