« 「事故前提社会」は誤用である | トップページ | 電子メールのオプトイン規制開始 »

2008年9月12日 (金)

パスワードの定期的な変更は必要か?

パスワードを定期的に変える必要があるか?と、
政府機関統一基準を、政府機関以外に適用するときのことについて相談を受けることがときどきある。

先日は、ある同業約80の組織が検討しているとのことで、そこからタイトルのような質問を受けた。
(この記事は、実は相当以前に書いていたが、下書き保存したまま公開していなかったので、いまさらながら公開しています。)
正確にいうと、質問というよりも、「パスワードを定期的に変えるのは本当にやらなければならないのか?それは本当に意味があるのか?」という苦言を呈されたのだった。

少し悲しかった。。。
というのも、政府機関統一基準は、パスワードの定期変更を一意には求めていないからである。
それがちゃんと読まれることもなく、「情報セキュリティの基準と言えば、パスワードの定期的な変更を求めるのが当たり前」と先入観で思っているらしく、読む前から上のような苦言をされたのである。

苦言を呈した人に、「読まずに聞かないで」とは言えなかった。
なぜなら、彼もまた、17799改め27000シリーズの教条主義者による悪行の被害者であり、その人を責めるものでもないので、悲しかったのである。

「パスワードを定期的に変更しなければならない」ということを条件も付けずに安易にルール化しているというのは、どういうことだろうか。。。

まず、最初に言っておくと、パスワードの定期的な変更がまったく必要ないということではない。
たとえば、以下のような場合には、パスワードの定期的な変更をしなければならないこともある。

・ひとつのアカウントを複数人がひとつのパスワードを使って共用しており、
・それら複数の人が定期的に入れ替わる場合。

ただし、上記の場合でも、人が入れ替わったとき、すなわち、必要なときにパスワード変更をすればよいので、「定期的に」変更するかどうかは、人が入れ替わるのが定期的か次第でしかない。

さて、ITセキュリティをしている人に以下のパスワードポリシーAについてセキュリティ上の意見を聞くとおもしろい。

パスワードポリシーA
 A1:パスワード長は数字のみ4桁
 A2:パスワードは変更できない
 A3:ただし、カードをカードリーダに通さなければならない

まったくレベルの低い人は、「A1が8桁ないとダメだからダメ。」と答えるだろう。
17799などにやられちゃった人は、「A1はパスワード再入力までの時間間隔などで微妙だけど、A2についてはダメ。」と答えるかも。
もうちょっとまともな人は、「A1とA2は強度が高いとは言えないけど、A3が本人確認要件の所有確認となっているので必ずしも不十分とは言えないかも・・・」と、もごもごするかもしれない。

上記はちょっとイジワルな例で、まともな答えは、「上記のパスワードポリシーの情報だけでは、意見のしようがない。」である。
それでは聞き返して得なければならない情報はなんだろうか・・・
重要なことから順番にしていくと以下のようなことだ。

最初の質問は、「このパスワードポリシーAを適用しようしているシステムでは、間違ったパスワードが入力されたときにどういう処理をしますか?」だ。
それによって、以下の情報を得る必要がある。

・次のパスワード入力を許すまでの時間(1回間違ったら何秒間待たないと、次のパスワードの入力をできないかとかということ)

しかし、実はこれは、ポリシーA1の「数字だけで4桁」がどの程度脆弱かを念のため確認する意味しかない。

より重要な情報は、
・間違ったパスワードの入力を許す上限の回数

これには、実際には積算失敗回数か連続失敗回数の2種類ある。

積算失敗回数は、そのパスワードを使い始めてからの失敗回数の総数だ。
連続失敗回数は、連続して失敗した回数なので、正しいパスワードが入力されたらリセットして数える回数だ。

積算失敗回数が、仮に3回でカードが永久に使えなくなるならば、パスワードポリシーAはセキュリティ上問題とは必ずしもいえない。
ただし、設定するパスワードを容易に推定されるものにしないなどの条件は必要だ。(これはどんなときにも言えるので、以降は繰り返さないことにする。)

積算ではなく、連続失敗回数が3回でカードが永久に使えなくなるのならば、万全とは言えないが、カードの管理がしっかりされているならば、これもセキュリティ上問題とは必ずしもいえない。
相対的にみれば、積算3回であれば、カードの管理が多少疎かでも実用に耐えれる場合があることを意味する。

もうおわかりのことと思うが、パスワードポリシーAは、日常生活において、銀行のキャッシュカードやクレジットカードによる本人確認に用いられているもので「即ダメ。」とか「実用に耐えない。」というはずがないものである。
重要な条件は、
・カードと併用する
・パスワード(暗証番号)を3回入力ミスでカードは永久に利用不可になる(カードの再発行が必要)
であり、その条件であれば、
・パスワードは数字のみ4桁でも不十分ではない
ということだ。

このとき、連続失敗回数3回だと、「カードの管理がしっかり」が加わっているが、これは厳重な管理かというとそうではない。
どういう状態で危険になるかを考えるとわかりやすい。
危険な状態は、「カードを使って誰かが不正パスワード入力を2回試みる。その試みが本人に気付かれないうちに、本人が正しいパスワード入力したことを知ることができて、その後にまた2回試みる。を繰り返せる状態」となる。
率直に言って、「かなりずさんな状態」と言える。そのような状態にならない程度の管理をしっかりすればよいのであって、「厳重な管理」という表現とは違うものだろう。
考えれば、あたり前だ。
だから、キャッシュカードは財布に入れて、普段持ち歩けるわけだ。
キャッシュカードについて、「厳重な管理」を求められて、手提げ金庫のようなものに保管して持ち歩かなければならないとしたら・・・
その金庫にキャッシュカードではなく現金を保管すればよいだろう。

ならば、回数上限を1回にしてしまえばよいのか?
すなわち、1回でも失敗したら、カードを使えなくするということになる。
この回数を減らせば、本人が単に入力時に入力ミスをしただけで、カードが使えなくなってしまうので、本人にとっての利便性が失われる。
利便性が低下してよいなら、回数を少なくしておくことができる。
人は間違えるものだと思えば、回数をある程度のものにしておく必要がある。

とはいえ、連続失敗回数制限では、カードの管理状況に依存するのは確かだ。
それを強化したい場合には、積算失敗回数制限にするしかないのだろうか?
そうとは限らない。これを補間する方法はある。
それは、直前の失敗を成功時に本人に知らせることだ。
そうすれば、本人からすれば、いわば、積算失敗回数を確認していることになる。

つまり、パスワードを普段入力ミスしない人であれば、あるとき、正しいパスワードを入力した際に、「直前に2回パスワードミスがありましたよ!」と表示されれば、「誰かがカードを自分の気付かない間に使おうとした」ということに気付けるので、その人が必要な対応ができるということだ。

ということで、政府機関統一基準では、パスワード変更を無条件に求めていないし、直前の結果を知ることができる機能を強化遵守事項として求めているなど、主体認証についてはいろいろと仕込んであるので、参考に読んでみてくださいね。。。

9月 12, 2008 |

トラックバック


この記事へのトラックバック一覧です: パスワードの定期的な変更は必要か?:

コメント

コメントを書く