強制的なパスワードの変更を再考する
1st appeared: 2016-03-04 15:57:56.
カーネギー・メロン大学(Carnegie Melon University)でコンピュータ・サイエンスや技術と公共政策のかかわりを教えるローリー・クレイナー(Lorrie Faith Cranor)さんが、アメリカ連邦取引委員会(FTC)のブログに寄稿した “Time to rethink mandatory password changes [強制的なパスワードの変更について再考するときがきた]” という記事を取り上げます。彼女の論旨としては、“why keeping up with security advice is important(なぜ、セキュリティに関する助言を時代の変化に合わせてゆくことが大切なのか)” ということになるでしょう。そういう、時代の速い変化に合わせて変えていかなくてはならない助言の一つに、「パスワードの強制的な変更」というものがあります。巷では「パスワードの定期的変更」が Twitter などで話題になることもありますが、ここではクレイナーさんが述べている意味に限定して取り上げます。
クレイナーさんによると、一定の期間ごとにパスワードを強制的に変更させると、一部の人たちはどんどん弱いパスワードを設定してゆく傾向にあり、パスワードを変更すればするほど脆弱になってしまうといいます。このような事情で、少なくとも10年ほど前から、パスワードを定期的に強制して変えさせる意味があるのかと問うてきた人々がいました。そして、定期的な変更にはセキュリティを強化する効果が乏しいか、場合によっては逆効果になるという結論が出ており、クレイナーさんは、それらの結論を示す二本の論文を紹介しています。
その一つは、ノースカロライナ大学(the University of North Carolina at Chapel Hill)の研究者が 2009~2010 年の調査にもとづいて書いた “The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis” という論文です。それによると、大学職員や教員あるいは学生が過去に使っていた 10,000 個以上の失効したアカウントについてパスワードを調べています。それぞれのアカウントは三カ月ごとにパスワードを変更するように強制されていたため、履歴を全て含めたパスワードの総数は 51,141 個だといいます。当然、パスワードはハッシュ化されているため、研究者は解析ツールを使ってオフライン攻撃を数ヶ月にわたって実施し、約 60% のパスワードを解読したとのことです。そうして、或るアカウントのパスワードが解析できると、そのパスワードをもとにして、そのパスワードへ変更する前のパスワードや、そのパスワードから変更した後のパスワードを色々なやり方で推測してみました。すると、パスワードに使われている数字を規則的に増やしているとか、或る文字を形がよくにた記号へ置き換えている(例えばアルファベットの “i” を “1” へ換える)とか、記号をくっつけたり取り除くとか(“password!!!” から感嘆符を一つだけ取り除いたり、逆に感嘆符を一つ増やす)、あるいは数字の桁を入れ替えて順番を逆にしたとか(“1234” を “4321” へ入れ替える)、そうした入れ替えや置き換えをする傾向にあったとのことです。私が所属している企業でも、退職した人のパスワードを確認したときに数多く見かけたのは、“gundam2010” のように年度を数字として付け加え、変更するたびに数字を年度に合わせて変えるというパターンでした。つまり、そのように安直な規則性でパスワードを変更する人が多いため、パスワードを単純に変えるというだけでは、暗号学的に計算できる解析時間よりもずっと早くパスワードを攻撃者に割り出されてしまうことになります。
もう一つの論文は、カナダのカールトン大学(Carleton University)の研究者が公表した “Quantifying the Security Advantage of Password Expiration Policies” という論文です。こちらの論文でも、ユーザはパスワードを変更するときに安易な規則性で替える傾向があるとされ、ひとたびパスワードが攻撃者に知られてしまうと、攻撃者はユーザが使うパソコンにキーロガーなどのマルウェアを仕込むかもしれないので、そうなってしまった後は、どれだけパスワードを変更しても意味がないと考えられています。
これらの論文をもとにクレイナーさんは、有効期限が来たときや、何日ごとに変更せよと言われたときにパスワードを変更しても大した意味はなく、寧ろ多くのユーザにとって納得のゆかない理由でパスワードを変更させるポリシーは逆効果になる場合があると述べています。実際、アメリカ国立標準技術研究所(NIST)のガイドライン文書においても、パスワードを強制的に変更させるよりも、適切に導入されたソルトを使って文字列を暗号化したり、パスワードの桁数や複雑さを増す方が効果的な場合があるとしています。したがって、パスワードを強制的に変更させるポリシーを採用している場合には、それによってどのような影響があるのか、本当にセキュリティが向上するのかを検証した方がよいということです。