3か月毎にパスワードを変えるシステムをよく見かけます。
これに関して、次のような記事がありました。
続パスワードの定期変更は神話なのか – ockeghem(徳丸浩)の日記
私なりにまとめると次の通りです。
総当たりでパスワードを破る場合、文字列の全パターンを試行するのに1年かかるとする。
1年より短い、3か月毎にパスワードを変えれば破られにくい。これが定期的にパスワードを変える理屈。
しかし、これは「(パスワードを変えない場合)1年で破られる確率は100%」と言っているに過ぎない。365日目までに破られることは確実だが、1日目で破られることもある。
パスワードを3か月で変える場合「3か月で破られる確率は1/4」である。
逆に言えば「3か月で破られない確率は3/4」であり、1年間ではこれを4回連続で耐え抜くとすると「1年で破られない確率は81/256」である。
このとき「1年で破られる確率は175/256」であり、実に68%の確率で破られてしまう。
つまり定期的にパスワードを変える効果は意外に少ないということです。
単純に考えると数字と英字(大小文字)で62個。この組み合わせでパスワードを作る場合、1桁増やせば総当たりにかかる時間は62倍に増えます。
8桁の場合、記号10個を加え、使える文字を62個から72個に増やすと、総当たりにかかる時間は3.5倍に増えます。
3か月毎に変える意味があるとすれば「もし破られてしまったときに悪用される期間が最大で3か月だけ」ということです。
コメント