パスワードの定期的変更に意味が無い話はよく見かけるが、背景は把握できていないので整理する。
定期的な変更はそもそもなぜ推奨されていたのか
もともと定期的な変更というところは、定期的に変わることによりリスクを軽減されるのではないというところからの着想ではあった様子。
ただ"様子"と書いたのは、この点においては裏付けとなる資料は(少なからず私は)見つけられなかったので、明確に何か根拠となる情報はなさそう
パスワードの定期変更に関する現状について
2017年に米国国立標準技術研究所(NIST)が警告
NISTが2017年に出した電子認証に関するガイドラインには以下のような文がある。
Verifierは,記憶シークレットを任意で(例えば,定期的に)変更するよう要求すべきではない(SHOULD NOT).しかしながらAuthenticatorが危殆化した証拠がある場合は,変更を強制するものとする(SHALL). - NIST Special Publication 800-63B
この文章での「記憶シークレット」がいわゆるパスワードにあたり、定期的な変更を推奨しない一文が盛り込まれている。
国民のためのサイバーセキュリティサイトで名言されている
総務省のサイバーセキュリティのためのサイトで以下のような記述がある。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。 - 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
これらを整理するとなぜ使いまわしてはならないのか
総務省のサイトの記述が全てではあるが以下のようなことが定期変更を推奨しない背景かと考えられる。
- パスワードの定期的変更は流出時の対策としては意義があるが、パスワードを推測しにくくするかどうかには関連のある話ではない
- 加えて、定期的な変更を行うことで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをよりしやすい状況を作りやすくなる
