花のある生活

花はあまり出てきませんが。

パスワードの定期変更が「セキュリティ的には危険」って本当!?

2017-12-08 | ネットセキュリティ対策
ネットのセキュリティを高める方法として「パスワードの定期変更」がよく言われていますよね。

色んなサイトでも、よく「パスワードの変更をお願いいたします」と書かれていますし。


しかし、この「パスワードの定期変更」が、逆に「セキュリティを危険にさらしている」としたら、いったいどうすればいいのでしょう?


パスワードの定期変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている


パスワードの認証を高める要件として、

1.コールバックによる本人確認

2.ワンタイムパスワードなど、使い捨ての認証

3.認証および、手段の秘匿


1は、登録した電話番号に来た「ログインコード」を入力してログインを認証するもので「二段階認証」と呼ばれるもの。

2は、「ワンタイムパスワード」を使用するもの。  銀行などでは使用されているが、使用するサイトの数が少ないのが現状。

そして3こそが、今回の話の注目すべきところ。

「定期的なパスワード変更は、認証プロセスの秘匿を脅かす」


パスワードを変更するときは、

1.変更前のパスワードを入力

2.変更後のパスワードを入力

3.もう一度、変更後のパスワードを入力

というパターンが多いです。


仮に、パスワードの定期変更を3ヶ月ごとに行うこととしましょう。

「パスワードの生成パターン」は人によって異なるでしょうが、この「パスワード生成パターン」の変更履歴から、ある程度「パスワード生成パターン」が推測できてしまうのです。

要するに「自分でパスワードを言いふらしているのと、ほぼ同じことになる」ということ。


さらには何かの情報を確認しようとすると「パスワード認証」を求められますから、必然的に「パスワード認証」の回数が増えます。

「パスワードの入力」の機会が増えるだけでも「パスワードの漏洩」が起こりやすくなるそうです。

そこで、なぜ「サービス提供側」が「このような注意喚起をしているのか」というと、「サービス提供側のセキュリティを高めるため」です。

簡単に言えば「利用者の安全のために注意喚起しているわけではない」ということ。


「サービス提供側」が、セキュリティ対策を高めるためには、これら4つの方法があります。

1.リスク低減

2.リスク回避

3.リスク保有

4.リスク移転


「利用者側の落ち度で、パスワードが漏洩した場合」は、「サービス提供側の落ち度」ではないので、不正に利用されたとしてもサービス提供側に責任はありません。

しかし「サービス提供側の落ち度で、パスワードが漏洩した場合」は、「サービス提供側の管理責任」が問われます。


サービス提供側は「パスワードの定期変更を注意喚起」することで、「パスワード管理」を怠っていないことを示すためなのであり、仮に「サービス提供側の落ち度」だったとしても、利用者側が注意喚起を聞き入れなかったことに対する免責を示すために、このような文面を掲示しているわけです。


もちろん、例外的に「パスワードを変えたほうがいい時」はありますし、だからと言って、利用者側がセキュリティに無頓着でいいわけでもありません。


「なぜ、これをするのか?」を考えると「意外な視点」が見えてくるのかもしれません。


追伸

ところで、これはあくまでも「外部から侵入される場合の話」で、実際には「システムを管理する人間」も「利用者のID・パスワード」を見ようと思えば見ることができるはず。

一般社会の中では「システムを管理する人間は不正行為をしない」と絶対的に信用されているけど、どうなのでしょうか?

それだけ「規範意識が高い人」ばかりなら問題はないだろうけど「そうじゃなかった場合」は、どうなるんですかね?