パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 2. Q. 数ヶ月に一度しか使わないシステムのパスワード有効期限が3ヶ月って、結局毎回変更しろって言われるし。 バカらしい。 Re:そもそも (スコア:2) by nnnhhh (47970) on 2018年03月27日 15時45分 日記. この Web サイト https://telework.cyber.ipa.go.jp/ およびダウンロードサイト https://download.telework.cyber.ipa.go.jp/ が、SSLv3 を有効にしている理由は何ですか? 有効期限を定めてパスワードを長期間が変更していないユーザに変更を促すべきである。 変更されていないパスワードの長期使用は、長期になるほど攻撃者にパスワードが盗まれている可能性は高くなる。 5.3.1. ipa コマンドの ... ユーザーパスワードの有効期限の変更を即座に反映させるには、LDAP で krbPasswordExpiration の属性値を変更します。単一ユーザーの場合、以下のようにします。 ldapmodify ユーティリティーを使用します。 実際、パ … パスワードの有効期限が切れる頻度を入力します。 Type how often passwords should expire. パスワードの変更. しかし、変更後はこうなっていて、パスワードの定期的変更は削除されています。答えは「その通り」。つまり、みだりにパスワードは入力すべきではない、認証回数を増やすべきではないのです。ルパン三世やキャッツアイのような盗賊が主人公のアニメで、こんな感じのシチュエーションがあったと思います。この考えに経つと、会社内で従業員に対してパスワードを定期的に更新するように促すのは、それなりの意味があります。それは、会社内のアカウントは従業員個人のアカウントではなく、会社としてのアカウントだからです。ここでこういう反論が出ると思います。「パスワードは認証のたびに入力しているのだから、パスワード変更しようがしまいがパスワードを言いふらしていることは変わりないのではないか」と。話を元に戻すと、パスワード変更においては、パスワードを入力する様子を見せる状況が発生します。これは認証プロセスの秘匿を脅かします。さらに、パスワード更新履歴が蓄積されれば更新の傾向が推測できます。これが重要で、不正アクセスを試みるものが更新履歴を見ることで他のサイトのパスワードを推測できてしまうのです。「パスワードルールの推測なんて難しいのでは?」というのは楽観です。ある程度履歴がたまれば、賢い人工知能であればそんなに難しくないでしょう。「パスワードはランダムだよ」という場合、ランダムパスワードを記録するデータベースがあった場合はそのデータベースを脅かせばパスワードの入手ができてしまいます。認証システムは完璧なのに、そのプロセスを盗賊に見せてしまったがために財宝が盗まれてしまうのです。しかし、この意見、控えめすぎます。今は、パスワードの定期的変更は、有効ではないどころか、むしろセキュリティ対策として危険といっていいです。です。この場合は、パスワードの定期変更をした方がいいでしょう。一つのアカウントを複数の人間が使いまわすことの是非はもちろんあります。私は、権限をグループ単位で付与して、アカウントそのものは一人1つずつにすべきと考えますが、現実的にそう出来ない場合にはやむを得ません。その場合にはパスワードの定期変更は必要です。もしGoogleがパスワードの定期変更を推奨するなら、長い期間内での再利用禁止はうたわないでしょう。例えば60日間でパスワードを変更しないといけないのであれば、情報セキュリティ・IT関連資格取得・企業防災(BCP)の組織内教育・コンサルティング・支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。つまり、パスワードの定期変更はセキュリティ対策ではあるけど、利用者のセキュリティを高める対策ではない、提供者のセキュリティを高めるために利用者のセキュリティを下げる対策ということです。パスワードを利用したシステムのお伽話で、アリババのお話がありますが、あれも盗賊がアリババに全部の認証プロセスを聞かせてしまったのでお宝を盗まれてしまったわけです。アラビアンナイトの時代であれば、多分こんな二段階認証になっていたでしょうもし定期的なパスワード変更が「使い捨ての認証方法」を実施するための手段であれば問題はありません。ワンタイムパスワードはこの条件を満たしています。しかし、ユーザ側のパスワードは「使い捨て」という条件を満たしません。それを満たすのは、「一回ログインしたら次のパスワードを必ず再設定」する場合です。現実的にユーザ側がそれをすることはまずありません。また、パスワード生成時に使う生成ルールは使い回すので「使い捨ての認証方法」という条件は満たしませんお頭はアリババの家の金庫のパスワードを破り、もっとお宝を増やしました。アリババはパスワードを言いふらしてしまうことで、自分の財産を失ってしまったのです。「二段階認証」プロセスと呼ばれていますが、この名称は正直良くありません。認証の回数がセキュリティを高めているのではないからです。認証プロセスが何回あろうとセキュリティが高まわるわけではありません。むしろ情報処理推進機構(IPA)が定期的なパスワード変更についてどう考えているのか調べてみたのですが、少し面白い情報を見つけました。私は「二段階認証」と呼ばずに「再帰認証」と呼ぶべきだと思いますが、言葉は共有プロトコルですので、私一人がそう思うからといって強引に推し進めることは出来ません。引き続きみなさんに従って「二段階認証」と呼ばせていただきます。この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。に必要な要件になるからです。これは、利用者側へのリスク移転となります。PCのブラウザでご覧の方は、ブラウザの幅を少し狭めると、このゲーム表示が、左ではなく、下に幅を広げた状態になります一方、サービス提供者側で情報を漏洩した場合には提供者側に責任が発生します。しかし、提供者側がセキュリティ対策の努力を怠っていないと「看做され」、利用者側がセキュリティ対策を怠っていたと「看做される」場合、提供者側の責任はある程度免責されます。東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用やBCP策定、従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に着物でお話させていただいております。パスワードの変更について書かれてはいますが、「アカウントに不正にアクセスされたと考えられる場合は、すぐにパスワードを再設定してください」と、定期的にではなく、「不正アクセスされたと考えられる場合」としています上の例では、アリババは自分のパスワードを言いふらしています。それによってセキュリティが脅かされるわけですが、定期的なパスワード変更は、この自分のパスワードを言いふらす行為でもあります。なぜなら従って、企業のセキュリティ対策としては、従業員にパスワードの更新をさせるのではなく、会社がパスワードを変更してそれを従業員に使わせるのが望ましいということになりますが、自分以外が生成したパスワードを覚えるというのは非常に難しいことで、従業員にその負荷をかけるのはパスワードをメモ書きするリスクが発生するなど、かえってセキュリティが下がる可能性があります。情報処理安全確保支援士第5338号。ネットワークスペシャリスト。坂井市防災士の会理事。ITコーディネータ。ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。一度認証したら、それ以降の同一性確認の方法を変更すべきです。アリババの例なら、こうなるでしょうここで注目すべきは、9月9日の更新履歴です。変更前はこう書かれていました。変更の理由はツイッター等でこの部分についてのツッコミが多数あったからのようですが、それだけでIPAがこの部分の修正をするほど主体性のない機構であるとは考えにくいです。おそらく、IPAもパスワードの定期的変更がむしろ危険であることに気がついているのではないかと思われます。ということで、普通のお頭なら、アリババをフルボッコにして終わりでしょう。こちらにGoogleがアカウントのセキュリティ強化のためにユーザに奨める行為を記載していますが、「パスワードの定期的変更」は書かれていません。現実問題としては、従業員個々人に定期的に更新を促すという方法に落ち着かざるをえないでしょう。上記のように若干の例外はありますがパスワードの定期更新は安全どころか、むしろ危険な行為です。サービス提供者はセキュリティ対策としてパスワードの定期更新を促すべきではなく、二段階認証といったシステムを導入することに力を入れるべきであると考えます。もちろん二段階認証を予算やコールバックのための個人情報の保管条件によって導入できない場合もあるとおもいますが、その場合でも、利用者側がパスワードを定期的に変更しないことをもって提供者側の非を免責するべきではありません。と記載されていることです。パスワードの定期変更を促すサイトでもパスワードの再使用の制限はありますが、ほとんどの場合「過去数回以内の」パスワードの再使用を禁止しています。ところが、Googleの場合は、回数ではなく、期間で、それも1年という比較的長い期間の再利用禁止です。6回全部を異なるパスワードにする必要があります。人間が記憶できる数は7前後ですので、この履歴を覚えるのはかなり難しいでしょう。1年以内のパスワード再利用禁止は、パスワードの定期変更を推奨していないからこそできる要件です。です。セキュリティは認証プロセスが再現されることで破られるので、認証プロセスが見えているとたちまち不正アクセスを許してしまいます。(2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます)ただ、そう考えると、パスワードを定期的に変えるべきなのは従業員からではなく、会社側から、という事になります。パスワード情報の漏洩は、利用者側もしくはサービス提供者側どちらかの落ち度で発生します。利用者側の落ち度は、サービス提供者側でコントロールできませんし、その場合にはサービス提供者側に非はありません。パスワードの定期変更は危険であると考えますが、例外的に定期変更すべき場合があります。