【定期的な再設定は不要？】パスワードは将来無くなるのか【生体認証への移行？】

こんにちは、えもんです。

みなさんはパスワードの管理はどうしていますか？

WEBサービスの利用には欠かせないパスワードですが、そのパスワードの扱いに関して、あのMicrosoftが以下のような発言をしています。

「定期的なパスワードの失効は、価値が低く、古くさい時代遅れの緩和策だ」

「パスワードは定期的な変更を」がこれまでの常識でしたが、どういうことでしょうか。なぜMicrosoftは上記のような言葉を出したのでしょうか。

今回は、そんなパスワードの未来について考えたいと思います。

【あなたのパスワードは大丈夫？】Have I Been Pwned?の基本的な使い方

パスワードの定期的な再設定は不要？

Microsoftは定期的にセキュリティベースラインというものを発表しています。

blogs.technet.microsoft.com

セキュリティベースラインとは簡単に言えば、Microsoftが推奨するセキュリティの設定、考え方とでもいったところでしょうか。

これを参考にすることで、Microsoftのベストプラクティスを自組織に反映できるということです。

今回、Windows10とWindows Serverのの新バージョン（ver.1903）が出るタイミングでセキュリティベースラインが改定となりました。

最新のセキュリティベースラインでは「Dropping the password expiration policies.（パスワードの有効期限ポリシーを削除します）」との記述があります。

有効期限ポリシーを削除する主な理由については以下のように書かれています。

Periodic password expiration is a defense only against the probability that a password (or hash) will be stolen during its validity interval and will be used by an unauthorized entity.

「定期的なパスワード変更はパスワードがその有効期間中に盗まれ、使用されるという可能性に対する防御にしかならない。」

If a password is never stolen, there’s no need to expire it. And if you have evidence that a password has been stolen, you would presumably act immediately rather than wait for expiration to fix the problem.

「パスワードが盗まれた、漏洩があったという証拠がある場合は有効期限が切れるのを待つのではなく、すぐに行動することを推奨する。」

If an organization has successfully implemented banned-password lists, multi-factor authentication, detection of password-guessing attacks, and detection of anomalous logon attempts, do they need any periodic password expiration?

「組織が禁止パスワードリスト、多要素認証、パスワード推測攻撃の検出、および異常ログオン試行の検出に成功した場合、定期的なパスワードの有効期限が必要か？」

ここまでみるとパスワードの定期的な再設定は悪だ。と言っているようにも聞こえますが、Microsoftとしてはセキュリティベースラインから削除することで、組織ごとに適切なルールを選択できるようにする事が目的のようです。

By removing it from our baseline rather than recommending a particular value or no expiration, organizations can choose whatever best suits their perceived needs without contradicting our guidance.

全体を通してみると、パスワードの定期的な変更を必須化するというよりは、アプリケーション側で異常な行動が無いか監視を強化したり、多要素認証を必須化し、パスワードが不正利用された場合に早く気付く仕組みを整備することが必要だということです。