2017年6月に全面改定が行われた米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」の中には「Webサイトは利用者に対し、パスワードの定期的な変更を要求すべきではない」という趣旨の一文が追加された。複雑なパスワードの強制と同様、定期変更の要求はメリットよりもデメリットが多かったのだ。

 これは、研究成果からも判明している。OpenIDファウンデーション・ジャパンでSP800-63の翻訳を手掛けるメンバーの1人である、NRIセキュアテクノロジーズの勝原達也サイバーセキュリティ技術開発部セキュリティコンサルタントは、定期変更要求の非推奨につながった研究成果を紹介する。

 米ノースカロライナ大学は、過去に大学に在籍していた学生とスタッフの1万のアカウントが使っていた、5万1141個のパスワードを解析した。同大学はパスワードは3カ月で変更が要求されるポリシーで運用していた。結果として分かったのは、利用者はパスワード変更時に、推測されやすい以下の「変換」を行っていることだ。

・数字を増やしていく(例:1を2にする)
・類似した文字を置き換える(例:Sを$に変換)
・記号を追加/削除(例:末尾につけた!!!を!!にする)
・数字や記号の位置を移動する(例:末尾の数字を先頭に移動する)

 過去のパスワードが分かっている場合、利用者が次に選ぶパスワードの17%は5回以内の試行で推測可能で、パスワードの41%は3秒以内に推測可能だった。

 パスワードの定期変更の狙いは、「不正ログインをされているかもしれない」というリスクに対して、侵害されている可能性のある期間を短くするためだ。変更した後、攻撃者による不正ログインが不可能にならなければ意味がない。しかし、そうした目的を達成するような変更を実施している利用者は少なかった。

要求が多いと利用者は手を抜く

 EGセキュアソリューションズの徳丸浩代表取締役は利用者心理をこう説明する。「利用者がパスワードに使えるエネルギーの総量は一定だ。あれもこれもと要求されると、どこかで手を抜く。定期変更時に末尾の数字を変えるだけだったり、『どうせ変更するから』という意識でパスワードの複雑性を下げたりする」。

[画像のクリックで拡大表示]

 ソフトバンク・テクノロジーの辻伸弘脅威情報調査室プリンシパルセキュリティリサーチャーは「定期変更を要求され、そのたびに複数のWebサイトでパスワードを覚え直したり、メモを書き直したりするのはとても手間が掛かる。パスワードの使い回しを誘発する原因にもなっていると思う」と分析する。

 「人間が怠惰でなければ、定期変更のデメリットは出ないかもしれない。でも、実際の人間はそうではない」。EGセキュアソリューションズの徳丸代表取締役は苦笑しながら話す。