現代のパスワード期限切れのセキュリティ(2010年)
本論文は、パスワード有効期限ポリシーのセキュリティ効果を実証的に分析した研究である。2010年に発表されたこの研究では、期限切れによる強制変更が実際にはセキュリティ向上にほとんど寄与せず、むしろユーザーが弱いパスワードを選択する傾向を助長することを指摘している。パスワード期限切れポリシーの有効性に疑問を投げかけ、より効果的な認証手法の必要性を示唆している。
背景メモ
- 本論文は、企業や組織で広く実施されている「パスワード有効期限ルール」の有効性を初めて体系的に検証した研究。2000年代後半から2010年代初頭にかけて、パスワードを定期的に変更させる慣行がセキュリティ向上に寄与するかという議論の火付け役となった。
- 著者の一人であるDinei Florêncioは、Microsoft Researchでパスワードセキュリティやユーザー行動分析を専門とする研究者。共著者のCormac HerleyもMicrosoft Research所属で、パスワードポリシーの経済的分析で知られる。
- 従来、多くの組織は「90日ごとにパスワード変更」などのポリシーを標準的なセキュリティ対策として採用していたが、本論文は実際のデータ分析から、この慣行がユーザーに弱いパスワードへの変更や推測可能なパターンを促し、かえってセキュリティを低下させる可能性を指摘した。
- この研究はその後、NIST(米国国立標準技術研究所)が2017年に公開したデジタルID認証ガイドラインの改訂に影響を与え、定期的なパスワード変更の推奨を撤回させるきっかけとなった。SI(国際学会)発の査読付き論文として、実務界に大きな波紋を投げかけた古典的な重要文献。