「強制的なパスワード変更は考え直すときだ」。米国で消費者の保護を担う連邦取引委員会(FTC)のローリー・クレーナー最高技術責任者が2016年3月2日に公表したブログが国内外で反響を呼んでいる。情報セキュリティ対策として定期的なパスワード変更をユーザーに強制するのは、「かつて考えられてきたよりも有益ではなく、むしろ逆効果となる場合がある」という。実は国内でも既に同じ議論があり、2014年の政府機関の情報セキュリティ基準では「定期変更の徹底」という文言が消えた経緯がある。

 「情報セキュリティは、時間の経過とともに新たに登場する脅威や新たな対策によって変わる」。こんな書き出しで始まるブログは、ユーザーにパスワードを頻繁に変更させることは、攻撃者にとって推測しやすいものにしてしまうとして、長年行われてきた情報セキュリティ対策の見直しを求めている。

 ブログでは、パスワードの有効期限を定めた場合について、米大学で行われた数々の実例を基にした研究を紹介している。このうちノースカロライナ大学の研究者は、3カ月ごとにパスワード変更を求められていた学生や教職員らの1万件以上の過去のアカウントを調べた。研究者はハッシュ化された5万1141個のパスワードを格納したファイルをオフラインで解析するツールを使って、ありがちなパスワードから類推して3カ月かけて60%を判別。7752件のアカウントについて、最新のものではないパスワードを入手した。

 それによると、ユーザーは以前使っていたパスワードを元に推測しやすいパスワードに変えていたという。例えば、数字や文字を増やしたり、文字の「S」を「$」に入れ替えたりしたものや、最初と最後の数字や文字を入れ替えたりしたものが多かった。クレーナー氏は「覚えやすいようにパスワードを変更した年や月の数字を含める人が多い」という。

 そこで、こうした数字や文字のありがちな入れ替えを基にさらに解析したところ、最新のパスワードのうち41%は、解析ツールで3秒以内に推測できたという。つまり、攻撃者が同じアカウントのパスワードで数字や文字の入れ替えを見つければ、ユーザーがパスワードを変更してもすぐに分かってしまうという。