総務省が「パスワードを定期的に変更する」とのセキュリティ対策を推奨したことが議論に
2013年12月20日 08:00
総務省が12月18日に『リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)』という資料を公開した。流出したユーザーID/パスワードのリストを使って複数のサイトに対しログインを試みるというタイプの攻撃が最近増えていることから、これに対する対策方法を紹介するというものだが、ここで対策の1つに「パスワードの有効期間設定」が紹介されている点が議論になっている(セキュリティ研究者高木浩光氏のTweet、セキュリティ研究者徳丸浩氏のTweet、Togetterまとめ)。
パスワードの定期的変更がセキュリティの向上にどれだけ意味があるのかについては、たびたび徳丸浩氏がまとめている(パスワードの定期的変更に関する徳丸の意見まとめ、パスワードの定期的変更について徳丸さんに聞いてみた(1)、パスワードの定期的変更について徳丸さんに聞いてみた(2))。
パスワードを定期的に変更することについては意味が無い訳では無いが、そのメリットよりもデメリットのほうが多い、というのが「パスワードの定期的変更は推奨されない」と主張する側の理由だ。最近では多数のオンラインアカウントを所持しているユーザーも多く、それを頻繁に変更することは負荷が高いという現状もある。
いっぽう、総務省の文書ではパスワードの定期的変更は、「流出したID・パスワードのリストの情報を古いものにして役立たなくさせる」とその有効性を述べている。
なお、総務省の文書では、パスワード管理の手間が省けるとしてパスワードマネージャの使用をすすめているが、パスワードマネージャを利用することの危険性(マスタパスワードの漏洩ですべてのアカウントにアクセスされてしまう、パスワードマネージャに不正なプログラムが組み込まれる可能性、クラウド型サービスの場合そのサービス自体に攻撃が行われる可能性)については何も紹介されていない。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
ヤフーから流出したとされる15年以上前の社内情報が掲示板などで公開される 2013年08月31日
「パスワードの定期的変更」は基本的には無意味 2013年08月12日
OCN IDのサーバー、不正アクセス発覚後に再度不正アクセスを受ける 2013年07月27日
シリア大統領府、スタッフの多くが「12345」をパスワードとして使用 2012年02月12日