ちっともかわいくなかった、セキュリティ界の「POODLE」：セキュリティクラスター まとめのまとめ 2014年10月版（2/3 ページ）

10月もパスワードの定期変更の議論が続く

　2014年9月は情報処理推進機構（IPA）の広告公募をきっかけに議論が行われていましたが、10月も@SaekiTominagaさんの「パスワードの定期的な変更を勧める企業にその根拠を聞いてみた」というブログエントリをきっかけに、またパスワードの定期変更の是非を問う議論が行われていました。

　もう食傷気味な人も多かったのか、三連休で見ていなかった人が多かったからかは分かりませんが、これまでも孤軍奮闘されていた@keijitakedaさんを除いては、以前から議論に参加していた人のツイートは少なめでした。

　これまでと似たような議論に加え、10月になって新たに出てきたこととして「パスワードの定期変更はパスワードリスト型攻撃には有効な対策ではないか」と、@keijitakedaさんが主張したことが挙げられます。これに対しては、定期変更よりも「パスワードの使い回し」をやめさせる方が重要なことなのではないかという意見が多く見られました。

　それでも定期変更は有効だ、と@keijitakedaさんは主張します。漏らしたユーザー名とパスワードを、漏えいを起こしたサイト自体に利用する攻撃も「パスワードリスト型攻撃だ」というのがその根拠です。

　しかしそれに対しては「パスワードリスト型攻撃ではない」という意見が出ます。「その場合はユーザーによるパスワードの定期変更とか悠長なことを言わずに、漏えいを起こしたサイトがすぐにパスワードを変更させるべきだ」との意見も多く出されました。このような認識の相違があり、お互いの会話はなかなかかみ合いません。

　その後、@keijitakedaさんはこれまでに議論していた人に対して、「パスワードの定期変更は無意味」と考えているか、個別に意見を聞いて回っていましたが、逆に他のユーザーから意見されると「無駄なことに時間をとらせないようご協力をお願いします」とツイート。それを境にツイートも減っていき、パスワードリスト型攻撃対策の話や、パスワードの代わりにIDを定期変更する話などにそれ、とうとう終息を迎えました。