りっぱな大企業などでは、社員がメールを読んだり企業内サーバーにアクセスするときのパスワードに期限をつけ、90日ごとに変更しなくてはいけないというようなポリシーを引いている場合がある。だが、トータルで見ると「期限付きパスワード(定期的に変えることを前提としたもの)」というのはまったくの無駄でしかない気がするよな。

この方針の良いところは、

期限付きパスワードを使うと良いこと:

• 気が付かれないうちにログインされてなりすまされるという状況が90日経つと「解決(?)」される。

だが、マイナス面は、

期限付きパスワードを使うと悪いこと:

• 忘れる。
• 仮に秘書がいたりした場合、(当然)それを伝えておく必要が出てくるので、そのやりとりが傍受される可能性が出てくる。
• 覚えきれなくなるので、紙に書いてコンピュータに張ったりするようになる。
• 変更の猶予期間を逃してしまった場合に、管理者を呼んでパスワードをリセットしてテストして、という手間がかかる。

というような感じで、どれも時給換算で何千円かにはなる人あるいは人々の時間を無駄に使うことになり、生産性の低下とトータルコストの増加はばかにはならない。

そもそも「良いこと」のほうに書かれたなりすましの防止だが、個人のコンピュータならともかく、会社の場合大事なものは会社のIT組織が管理するサーバー上にあるわけで、不規則なログインパターンはサーバー側でもチェックできるし、弱いパスワードをユーザーが使っているかどうかも、管理者側でチェックできる。大学のころはWIDEな人たちがあたりにいっぱいいたので、定期的にcrackを走らせたり、anti-crackとかいうコマンドを作ったりしている人もいた。anti-crackというのはあなたが使いたいパスワードを入力すると、「これは弱い」と平文を見ることなく教えてくれるツールであり、パスワードの設定時に使うと弱いパスワードをそもそもつけなくてすむようになる。

だいたい、パスワードが破られて、ある人のメールが例えばしばらくの間盗み読みされていたというような場合、定期パスワード変更によって読めなくなった、というのは本当に問題の解決になっているのだろうか？最初のパスワードが破れた原因を塞がなければ、新しいパスワードもいずれなんらかの理由によってもれるので、たいした防御にはならないだろう。Microsoftのサイトにある例で、オンラインショッピングを勝手にされてしまう、というようなものは企業内ネットではあまり関係ないし。

ただ、大企業のITサポート部門からすると、コンピュータに不慣れな社員が「どうしたらよいのですか？」と日夜聞いてくれれば、その相手をすることによってなわばりと雇用の確保ができているという面があるのだろう。だから、一人の要員が定期的にcrackを全員のアカウントに走らせてクラックできてしまった人に通知する、というやりかたや、ログインパターンを解析して怪しい動きを見つけたりする、という自動化の方向の代わりに、コンピュータを使うのを難しくしておいてサポート業務を増やし、「サポート要員がこれだけ必要なんです」、と上層部に言って予算をもっともらえるように、パスワードに期限をつけておいて定期的に問題が起こるようにしておくと。

だいたいめんどくさいじゃん。前の会社にいたときは、自分のブースにある直通電話の留守電を聞くのにパスワードが必要だった。デフォルトでITの人が付けていくのは"12345"というやつだったが(この時点ですでに矛盾してるんだよ)これを3ヶ月ごとに変えなくてはいけない。ばかばかしいが、僕はひとつシフトして、"23456"、"34567"とかに変えていっていたなあ。本当に意味なし。

id:propellaの山宮さんはhttp://d.hatena.ne.jp/propella/20040518#p1のようなことを書いていたが、僕は「お気に入りのひとつ」のパスワードをそれなりに長く使うのが良いと思っています。

似たような話では、我々がやった公開実験についてどこかの学生さんがちょっと詳しくまとめてしまったNetNewsの記事が流れたことがある。これは公開実験だったわけだし記事にも変なことが書いてあるわけでもなかったので、僕は「ふーんがんばってかいたなあ」という程度の感想を持ったわけである。同僚たちも同様だった。しかし、これを知った法務部門がさも大事であるかのように「この学生を訴えようか？」と言ってきたことがある。僕は最初はなんらかの冗談でも言ってるのかと思ったくらい的外れだったのだが、彼らにしてみればどうでも良いから無辜の人を訴えたりするのが自分の椅子を確保することにつながるわけだからね。世の中というのはなかなか難しいものです。