TrickDiary このページをアンテナに追加 RSSフィード Twitter

2009-05-17

[]パスワードの定期更新の有効性に関する考察

パスワードの定期更新の有効性について疑問を抱いている自分の考えをまとめてみました。

ブルートフォースな攻撃に対する有効性

このことを簡単に説明する為にここでは数字4桁限定のパスワードで考えてみましょう。

例えば、まず初期状態として 2032 がパスワードとして設定されているとします。さらにここで攻撃者はブルートフォースな攻撃を 0000 から順番に行うとします。攻撃者が 2032 に達するまでに運良くパスワードが定期更新により変更されれば、一見難を逃れたように見えます。

しかし、よくよく考えて見てください。これは本当に難を逃れたと言えるのでしょうか? 残念ながらこれは難を逃れたとは言えません。と、言うのも、攻撃者が 0500 のあたりを試行中に 0600 あたりのパスワードへ変更したのであれば攻撃が成功するまでの時間を反って短くしただけです。また逆に 9000 あたりの攻撃者がそこへ達するまでに時間のかかるパスワードへ変更したとしても結局は攻撃者はそこへいずれたどり着きます。

幸運にも攻撃者が 1000 あたりを試行中に 0500 あたりのパスワードへ変更できたとしても、攻撃者は 9999 まで試行してダメだったら 0000 からやり直すだけなので多少の時間稼ぎにしかなりません。非常な幸運に恵まれれば攻撃者のブルートフォースな攻撃をかわし続けることができるかもしれませんが、定期的なパスワード変更のブルートフォースな攻撃に対する有効性というのは結局の所、攻撃が成功するまでの時間を期待値で概ね2倍*1にするだけの効果しかありません。

ショルダーハックに対する有効性

これについては多少は意味があるのではないかと思われますが、そもそもパスワードをタイプするところを他人に見られるべきではありません。監視カメラ等が動作している環境でパスワードをタイプするなどに至っては言語道断です。*2

パスワードが割れてしまった場合に・・・

攻撃者に対してそのパスワードが有効な期間を短くすることは可能ではあるかも知れませんが、クラックを許した時点でそれがどこまで意味のあることなのかは疑問です。しかし、退会/退職などにより無効にするべきアカウントがいつまでも有効なままになってしまっていることにより招かれる不正アクセスの軽減策や、ダメもとで可能な範囲で被害を少しでも少なくするという観点においては意味があると言えなくはないでしょう。パスワードの定期更新の有効性については恐らくこれに尽きるのではないかと思います。

定期更新よりは、ひたすら長いパスワードを推奨

*1パスワードを一文字長くするだけで攻撃が成功するまでの時間が数十倍になるというのにパスワードの定期更新ではたったの2倍です。

*2:今や監視カメラなんてそこら中にありますからカメラの死角を探すのは大変なこともあるかと思いますが。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証