Ars Technica

Ars Technicaに8月3日(米国時間)に掲載された記事「Frequent password changes are the enemy of security, FTC technologist says|Ars Technica」が、頻繁にパスワードの変更を必要とするセキュリティ対策は小さな効果しか得ることができず、むしろセキュリティ上、悪い効果をもたらす傾向が強いと伝えた。こうした指摘はこれまでも出ており、米国連邦取引委員会の上級科技術者がこれを再度指摘した形になっている。

記事では、過去の研究事例を紹介。3カ月おきにパスワードの変更を必要とした機関のパスワードを解析した結果を紹介し、セキュリティの強化よりも攻撃者に対してパスワードの推測をより容易にする結果が得られたと指摘している。例えば、最初に「tarheel#1」といったパスワードを使った場合、ユーザーは「tarheel#1→Tarheel#1→tArheel#1→taRheel#1」「tarheel#1→tarheel#11→tarheel#111」「tarheel#1→tarheel#2→tarheel#3」のように一定のパターンに従ってパスワードを変更する傾向が見られたという。こうした変更は逆に攻撃者に対してパスワードの推測を容易にさせると説明している。

定期的に推測されにくい強度の強いパスワードに変更することにはセキュリティ上の利点が得られるが、多くの場合、ユーザーはそうしたパスワードの変更は実施せず、覚えやすくかつパスワードの変更が必須というシステム上の要求にも応えられる双方の落としどころに落ち着くことが指摘されている。