パスワードの定期変更はパスワードを破られにくくするか?

これはすなわち、90日以上も掛けてパスワードを割り出すようなクラッキング行為に対して、定期的にパスワードを変更することで対抗しようということだろう。しかし、PCIDSSには以下のような規定もある(日本語版からの引用)。

8.5.13 ユーザーIDをロックアウトすることにより、連続したアクセス試行を6回以内に制限する。
8.5.14 ロックアウト時間は30分間、またはアドミニストレータがユーザーIDを有効にするまでとする。

https://www.pcisecuritystandards.org/pdfs/japanese_pci_dss_v1-1.pdf

いわゆるアカウントロックを義務付けていることになる。パスワードの間違いが6回を超えると、30分以上時間をおくか、管理者に依頼してロックアウトを解除してもらわなければならない。これはかなり厳しい制限である。この規定は、定期的にパスワードを変更するよりもはるかに有効なパスワード・クラッキング対策である。かたや、90日ごとのパスワード変更は、有効性はずっと乏しい。(最長)90日以内にパスワードが破られた場合には無力だからだ。
一般に、パスワードのブルート・フォース攻撃や辞書攻撃に対する備えとしてはアカウント・ロックが有効であり、重ねて定期的なパスワード変更を義務付ける必要はまったくないと私は考える。

パスワードの定期変更によって被害を最小限にできるか?

次に、パスワードの定期変更によって被害を最小限にできるかを検討する。
そもそもPCIDSSは、PAN（カード番号＝Primary Account Number）を取り扱うサイトに義務付けられた規定だ。カード番号がクラックされた場合に、(最長)90日放置されて「被害を最小限にできる」だろうか?クラッカーは、必要な情報をすばやく入手して、ばれないうちに悪用しようとするのではないか。90日もたってから悪用するのは、よほどのんびりしたクラッカーのように思える。
したがって、90日毎のパスワード変更では、被害を最小限にすることは期待できない。

なぜパスワードの定期変更という「常識」が生まれたか?

このテーマを考えると、一つだけ、パスワードを定期的に変更せざるを得ない状況を思いつく。それは、UNIX系OSで/etc/passwdにパスワード*2を格納している場合だ。/etc/passwdは、そのマシンのユーザであれば誰でも参照できるので、今時はそのような運用をしているケースはまれだろうが、昔は/etc/passwdそのものにパスワード情報が格納されていたのだ。
このような状況では、いくらアカウントロックなどの設定をしていても、/etc/passwdファイルを入手した上で、John the Ripperなどのツールを利用すれば、オフラインでゆっくりパスワードを解析することが可能となる。あとは時間との勝負だ。
このような状況では、確かにパスワードの定期変更くらいしか対抗手段がない。
しかし、これはそもそも/etc/passwdにパスワード情報を格納していることが問題であるのだ。近年では、パスワード情報はroot権限でのみ参照できるシャドウファイルに格納されているので、パスワードの定期変更をする動機はなくなったと考える。
同様に、データベースに暗号化されたパスワードを格納しているケースで、それを解読される時間を問題視する方もいるかもしれない。しかし、データベースからパスワード情報を読み出せるユーザであれば、カード番号など別の重要情報も読み出せるだろう。カード番号は暗号化されているかもしれない*3が、パスワードの解読を心配するのであれば、カード番号の解読はもっと心配すべきだろう。
言い換えれば、こうだ。この理由によりパスワードを90日毎に変更しなければならないのであれば、カード番号も90日毎に変更すべきである。しかしPCIDSSにはカード番号の定期変更に関する規定は見当たらない。

パスワードの定期変更は「神話」なのか?

話題となったPCIDSSをきっかけとして、パスワードの定期変更問題について検討した。ひょっとすると、私の知らない理由によって、パスワードを定期変更するべき明確な根拠があるのかもしれない。もしあるのであればぜひ教えていただきたい。
少なくとも、現時点の私の心証はこうだ。

かつてはパスワードを定期変更すべき明確な根拠があったが、現在その根拠は失われている。そして、パスワードの定期変更は『神話』となった