なんか盛り上がっていたので考えをいくつか。

• 総務省｜「リスト型アカウントハッキングによる不正ログインへの対応方策について（サイト管理者などインターネットサービス提供事業者向け対策集）」の公表

これの、

２．パスワードの有効期間設定 パスワードに有効期限を設定し、利用者に定期的に変更させる

についてTwitterはじめ議論を呼んでいます。

• 総務省「パスワードの定期変更」推奨はパスワードマネージャ前提？高木浩光先生の怒涛の指摘まとめ

いくら定期的に変更しようがリストに当たれば被害が出ます。リストが進化すればその危険性は高まります。

重要なのは、公開サービスで使用するパスワードは、リストに対する防御力を高めておく事だと思います。例えば、以下のような対策です。

• パスワードポリシーを過度にしない範囲で設定する。
  • 特に文字数の上限は定めるべきではありません。
• 以前使用したパスワードを許容する。
  • 同じものの再使用禁止は、一定以上で安全な文字列の量を減らす危険性があります。
  • また、利便性を著しく損ね、平易なパスワードの使用につながるでしょう。
• 他のサービスとの使い回しをさせないように注意喚起する。

これらに加えて、上記資料内の「攻撃による被害の拡大を防ぐ対策」にある「アカウントロックアウト」は攻撃許容回数を減らすのに非常に有用でしょう。

ここまではよく言われる事ですね。

議論したい点

ちょっと珍しい方法をいくつかのサイトで見た事があります。

• サービス提供側でIDやパスワードの前後に任意の文字列を追加指定して、安易な文字列を安易でなくする。

文字列の質が良ければ、安全性と利便性を損ねなさそうな方法ではあると思うのですがいかがでしょう。

注意

注意として、管理者パスワードは性質が異なりますので、この議論とは別に行う必要があります。徳丸さんの記事が詳しいです。

• 「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記
• 管理者パスワードは定期変更ではなく、ルールを決める | 水無月ばけらのえび日記

Linux系のシステムの場合は、wheelグループを指定してsuなどで管理者(root)になれるユーザーを限定するのも有効だと思います。