パスワードの定期変更の必要性について

パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記より。

話題となったPCIDSSをきっかけとして、パスワードの定期変更問題について検討した。ひょっとすると、私の知らない理由によって、パスワードを定期変更するべき明確な根拠があるのかもしれない。もしあるのであればぜひ教えていただきたい。

PCIDSS のケースじゃないのでちょっとピントがずれた回答になるけど、「複数の人が同じパスワードを共有している」場合にはパスワードの定期変更が有効だったりする。 例えば、ダイアル式の物理的な鍵とか、ドアの暗証番号とか。 こういうケースでは、時間の経過とともにパスワードを知っている人が拡散するので、定期的にパスワードをリセットする必要がある。 言いかえると、「アクセス権限の棚卸し」かな。

まぁでも、「ID」という概念がある情報セキュリティの分野では、パスワードはIDごとに割り振ることができる。 パスワードを共有するのは問題外だし、認証とアクセス制御も分けて考えるべき。 そういう意味で、ピントがずれた回答ではある。

PCIDSS の例に戻ると、サラミ法のような少額の被害を長期間受けるような攻撃への対策にはなると思う。 ただし、「常に同程度の強度を持つパスワードに変更しづづけることが可能な場合」という前提つきだけど（ここ重要）。 あとは、他のサイトと同じパスワードを使っていて、そっちから漏れた場合への対処とか。 セキュリティレベルに応じてパスワードを使い分けている人は、そんなに多くないだろうし。

余談

パスワードの定期変更とシングルサインオンは相性がいいと思ってる。 10のサイトのパスワードを、90日ごとに変更するなんてやってられないよね。