9月1日の記事「衝撃!安全なパスワード神話の崩壊!?」の続編です。
金融機関系サイトをはじめとして、パスワードをある程度の期間ごとに変更するように求められるケースが結構ありませんか?

不正なアクセスがあったりした場合には、パスワードを変えるのは当然のことですが、何もないのにわざわざパスワードを変えないといけない、というのはなぜなのか分からないけど、そう言われているからしょうがない、という方が多いと思います。

ではパスワードの定期変更をさせる理由はなんでしょうか?

その理由は「パスワードがバレているかもしれない状況を止める」というのが定期変更の意味になります。
定期変更すればパスワードが破られることなく安全、なのではなく、パスワードがバレていて不正アクセスされまくっていたとしても、定期変更した時点から被害がなくなる、というのがパスワード変更の主旨だったのです。

ということはパスワードが漏洩していなければ定期変更をする意味はない、ということになります。
・・・漏洩しているかどうかわからないから定期変更が必要?

そう考えると一般ユーザーに定期変更をさせる意味はあまりないのでは??
例えば金融機関のオンラインバンキングなどで3ヶ月ごとに定期変更を求められても、3ヶ月間の間は不正利用に気づかないなんてことがあるのでしょうか?そして、気づいた時点で手を打ちますよね?

もちろんパスワード認証が必要なケースは様々なので、すべてにおいて定期変更が意味がないとは言いませんが、意味があるとは言えないケースも多く、それが「パスワード定期変更無意味論争」を起こしてきました。
近年では「パスワード漏洩のリスクと、パスワード定期変更を行う労力と定期変更に伴い発生するリスク(忘れる・簡単なパスワードにしてしまう、など)を比較すると、ケースバイケースで、その効果は各ケースにおいて判断するのが合理的。パスワード定期変更を一律に推奨や強制を行うべきではない」という考え方が主流になってきています。

実際、定期変更を求められた際に、元のパスワードの一部を変更したり追加したりといった、簡単な変更しかしなかったり、2種類のパスワードを交互に変更して使ったり、簡単なパスワードしか使わなくなったり、パスワードのメモを残すようになったり、というセキュリティ上望ましくないことが発生し、逆効果になることが多いのです。
パスワード定期変更をしても、ハッキング側の労力は変わらずに、ユーザー側の手間とリスクの総量のほうが大きいようです。

米国立標準技術研究所(NIST)による「電子認証に関するガイドライン」の新版では、パスワード定期変更は、システム運用者のためにはなっても、ユーザーのためにはならない、ということで、「運用者側が利用者側に定期的なパスワード変更を強いてはいけない」という表現が盛り込まれ、パスワードの定期的な変更を推奨することはやめることを決めました。

私たちは今まで散々振り回されていたらしいですね・・・。
ヤレヤレ ┐(´д`)┌

・・・と思ってしまいますが、今後また技術変革や問題の解釈によって状況が変わり、パスワード定期変更が必要な時代が来るかもしれません。
大事なのは、情報をキャッチして、理解して、対応することです。
また、状況によっても適用すべきセキュリティの度合いは変わります。あくまでも「一律な適用を控える」です。本当に大事なところでは、自発的にパスワード定期変更をしてもかまわないのです。セキュリティ的には高いのですし。

例えば「PassClip」を使えば、パスワード自体を覚える必要がないため、パスワードの定期変更はあまり問題にはなりません。
パスクリ通信を読んでいる皆様はすでに導入済みかと思いますが、これも対応方法のひとつなのです。