パスワードとは
何かを通る(パスする)ために必要な合言葉(ワード)です。
パスワードの定期変更は非常識
なぜか常識ということにされている1、パスワードの定期変更ですが、 定期変更は一部の例外を除いて非常識です。 それを説明します。
なぜかというと、パスワードを定期変更して欲しいということは、 「一定期間以上同じパスワードを使うと解析されてしまう」 ということを意図しています。
しかし、それは以下の場合に限ります。
- ハッシュ化されたパスワードが攻撃者の手元にある
- 総当り攻撃すればバレる程度の強度しかない(4桁数字なら最大でも10000回)
しかし、ハッシュ化されたパスワードが攻撃者の手元にある時点で、 それは既に攻撃に成功しています。なので、 「攻撃されてハッシュ化されたパスワードが流出してしまったので、 パスワードを変更してください」と言うべきです。
2.は3回間違えれば使えなくなる銀行のATMならともかく、 そのようなパスワードを使う(使える)こと自体が間違いです。
「一部の例外」というのは、パスワードを共有している場合です。 このへんは以下の記事が良いと思います。
この件は正直「当たり前」なので、 いつの間に間違いが常識になってしまったのか謎です。
パスワードは文字の種類よりも長さが重要
定期変更は論外ですが、こちらは少し微妙な話です。
パスワード設定時に、アルファベット大文字や記号を必須にするシステムが多いですが、 そういうのは良くなかったという話です。
確かに、記号が混ざった8文字より、 アルファベット小文字のみで12文字の方が試行回数が多いので 破られにくいというのは理屈では合ってます2。
ただ、いくら長くても、辞書にある言葉を3つ組み合わせる程度だと、 破られやすいんじゃないかなぁと思います。
-
“パスワードの定期変更"はもはや無意味! セキュリティの現実を直視すべし─NTTデータ先端技術、辻氏 | マイナビニュースでは「パスワードの定期変更という"常識"は現実的ではない!?」という書き方で、まるで定期変更が常識みたいに書かれています。 ↩︎