5月は記念すべき月だった。健全性と実用主義が不合理な妄想に勝利した。もちろん政治の話をしているのではない。Microsoft(マイクロソフト)がようやく(そう、ようやく!それでもやったことを讃えよう)Windows 10のセキュリティー基本計画のパスワード期限切れポリシーを廃止した。
多くの大企業や組織が(TechCrunchの親会社 Verizonも)、ユーザーにパスワードを定期的に変更するよう求めている。これは、著しく非生産的なポリシーだ。マイクロソフトは、以下のようにコメントしている。
最近の科学研究が、パスワード期限切れポリシーを始めとする長年続いているセキュリティー方針に疑問を投げかけ、より効果のある方法を提案した。パスワードが盗まれなければ、期限切れにする必要はない。そしてパスワードが盗まれた証拠があるなら、直ちに行動すべきであり期限が来るまで問題解決を待つことはない。
もし組織が禁止パスワードリストや多段階認証を導入し、パスワードを予想する攻撃や無人ログインの試行などを正しく検出していれば、定期的なパスワード変更は必要ないはずだ。そしてもし、最新のセキュリティー対策が施されていないのなら、パスワードの有効期限にどれほどの効果があるだろうか? 定期的なパスワード変更は過去の遺物であり、非常に効果の薄い対策だ。
そういう組織でパスワードを使っている人は、システム管理者にこのブログ記事を送ることをお勧めする。もちろんはじめは無視されるだろうが、それは大企業のシステム管理者とはそういうものだからであり、情報セキュリティーというものは規則を増やすだけの不合理な「一方向ラチェット」だからであり、我々の恐怖のカルチャーが実際のセキュリティーよりもセキュリティー劇場の方を重んじるからだ。しかし、いずれは世界が動いていることをしぶしぶ認め始めるだろう。
代わりにすべきことは、LastPassや1Passwordのようなパスワードマネージャーを使おう(無料バージョンでも十分有効なので使わない言い訳はできない)。これを使えばパスワードの使い回しを排除あるいは少なくとも最少にできる。2段階認証が用意されている場合は必ず使うこと。Number PortingやとSS7 attackなどの問題を指摘されているSMSの2段階認証でさえ、一段階認証よりずっといい。
そして、コードやデータのリポジトリーを使っている人には、パスワードやAPIキーを保存しないようにお願いする。私はコンサルタント会社のCTOだが、この残念な事象で相談に来るクライアントの数に読者は驚くに違いない。リポジトリーのアクセス管理はあまり厳重ではないので、repoファイルはごく簡単にコピーできるし、置き場所を間違えることもある。そして、ひとたび個人情報を登録してしうと、完全に削除することはおそろしく面倒だ。代わりに、環境変数のように簡単なものを使うだけでもいろいろな意味で大きな前進であり、複数環境にわたって作業するにも便利だ。
完璧なセキュリティーは存在しない。世界水準のセキュリティーは扱いにくい。しかし、適度に強力なセキュリティーは、いくつかの基本ルールを守っていれば十分使いやすい。そのためにはルールを最小限にするのがよいし、意味のないルールは廃止すべきだ。パスワードの有効期限はその1つだ。バイバイ、有効期限。せいせいした。
[原文へ]
(翻訳:Nob Takahashi / facebook )