総務省の出した文書から、パスワードを定期的に変更させる話がとあるところで話題になっている。
総務省|「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
TakagiHiromitsu氏総務省のリスト型アカウントハッキング対策について指摘する - Togetterまとめ
TakagiHiromitsu氏総務省のリスト型アカウントハッキング対策について指摘する の続き - Togetterまとめ
リスト型アカウントハッキングによる不正ログインへの対応方策について メモ « (n)
パスワードの定期的変更を推奨するための具体的な変更時期とパスワード強度を検討した - たぬきん貧乏日記 ~No Worry, No Hurry. Eat Curry!~
パスワードに有効期限を持たせて変更を強制させようということらしいのだが、
リスト型攻撃に対して、どのくらい有効なのか。
ここで疑問に思った点を挙げておく。
総務省の公表した文書の4ページ目には「(1)ID・パスワードの使い回しなどに
関する注意喚起の実施」として使い回しをさせない点を挙げている。
「サービス毎に異なるパスワードを設定することが本質的な対策となります。」
これは本筋として問題ない。
そして、5ページ目にパスワードの定期変更が出てくる。
「有効期間も一年、半年にするなど」とパスワードの有効期限の話が出てくるのだが、
有効期限が切れたパスワードでログインした場合、どうするのが正しいのか。
認証はエラーとした上で別の仕組みでパスワード変更をさせるのか、
それとも認証を通した上でパスワード変更を促すのか、
どちらになるのかというところがわからない。
過去、使ったことのあるWebのサービスでパスワードに有効期限があるものは一つだけ。
そこは有効期限が切れた後は認証を通した上で、パスワード変更画面になった。
期限切れがエラーになるのであれば有効期限以降がリスト型攻撃対策として有効。
しかし、パスワード変更されるまで認証を通してしまうのであれば、有効期限が切れても
実際に変更されるまでの間に発生する攻撃に対しては意味がないのではないか?
6ページ目には「(3)パスワードの履歴の保存」として、過去に使用したパスワードを
使用させない仕組みが必要なことを挙げている。
これは、サイトには履歴としてパスワードのセットが保持されていくことを意味する。
もし情報漏洩が起こるとそのパスワードセットが漏洩することになるわけだ。
(一つのIDに対して、過去に使用された複数のパスワード群というデータ。)
あるユーザーの各利用サイトにおけるパスワードの重複(使い回し)が現時点で
存在しない状態だとする。しかし、あるサイトの現時点のパスワードが別サイトで
過去に使用していたパスワードだとしたらどうだろう。
その別サイトで情報漏洩が起きたとしたら、その漏洩したパスワードセットには、
あるサイトで現在使用しているパスワードが含まれていることになる。
リスト型攻撃が成功する可能性がないだろうか?
つまり、パスワードの定期変更をしても、結局のところ「現在および過去に使用している
パスワードは他サイトのものを含め一切使い回しをしないこと」という注意喚起が
必要になるのではないかと。
そして、漏洩するのが現ID/パスワードのペアではなく、セットになるという点で
漏洩後のリスクが増えないだろうか?
あと、ちょっと気になったのは、スマホアプリでの認証も同じ扱いなのか、という点とか。
それから、IDをサービス提供者が振り出すケース。この場合、IDはこのサイトでしか
有効でないはずなので、情報漏洩してもリスト型攻撃に使われて被害が出る可能性は低い。
ちなみに先の、使ったことのあるWebのサービスでパスワードに有効期限があるところは
IDをサービス提供者側で発行していた。
(メモ)
標準書に見る「パスワードの定期的変更」の歴史(書きかけ放置) - nilnil専用チラシの裏
(追記)
パスワードの有効期間設定及び、パスワードの定期変更についてボクなりに再考してみましたよ。 « (n)
世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。 - piyolog