やじうまWatch

パスワードの変更間隔、16日でも27年でも効果は大差なし? 定量的評価の結果が話題に

 「パスワードを定期的に変更しましょう」というフレーズはあちこちで耳にするが、その効果の程については疑問視する声もあるのはご存知の通り。今回各所で話題になっていたのが、Twitterユーザーの@pseudoidentifieさんが公開した「パスワードの最適変更間隔とその定量的効果の評価」という考察。総当たり式で攻撃者がパスワードの解析を行って正解を突き止めるまでの平均時間から逆算して、どれだけの間隔でパスワードを変更するのが最適かを検証したものだ。導き出された結果の中で興味深いのは、辞書に載っている10万語を2語組み合わせたパスワードの場合、最適値とされる16日間隔でも、約27年間隔でも、パスワードを変更する効果はそれほど変わらないということ。一方で、4桁の数字パスワードであれば23.5分間隔が最適値だが、それでも平均27.4時間で突破されるということで、パスワードに必要なのは定期変更ではなくむしろ「長さ」であると見ることもできる。結論は見る人に委ねられている格好だが、いずれにせよ大変参考になる調査結果なので、ぜひリンク先で詳細を確認されたい。

◇パスワードの最適変更間隔とその定量的効果の評価
https://docs.google.com/document/d/1RWDerFjLc24nr_lDhF8s0vEOJ8DPKhEnEAYG9qr_oBY/pub

【記事訂正 11:30】
 記事初出時、記事見出し中で「16時間」と表記していましたが、正しくは「16日」です。お詫びして訂正します。

(tks24)