定期的なパスワード変更の効果有無まとめ

自由研究の季節

夏です。今年もまた自由研究の季節がやってきました。何年か前にパスワード定期変更云々という夏休みの自由研究をやりました。このエントリは総当たりに対する防御の視点で書かれたものです。
今回は「総当たり対策」以外の視点でパスワードの定期的変更の効果を検証します。
このまとめは気が向いたらテキトーに項目を追加&編集していきます。まだまだ完成版ではありません。

大前提

・ユーザーが自主的に定期的変更するのもいいが、パスワードに関してはまず設定可能文字数を大きくする・使用可能文字種を増やすのが最初の一歩です。
・サイト側がユーザーに定期的変更を強制すると、ユーザーは結果的に強度の弱いパスワードを使いがちなので強制は良くない。*1
・サイト側での保存方法には必ずハッシュ化+ソルト+ストレッチングを設け、秘密の質問の様なゴミは使わない事。
・変更タイミングの基本は

とします。その上で例外的にイベントドリブンの変更が有効なケースの洗い出せれば良いんじゃないかと。

まとめ

とりあえず表形式で書いていこうと思います。
基本「定期的変更より効果のある対策」がある場合は、まずそちらを最優先で対策していくべきです。それをせずに定期的変更を推奨する輩はハイクを読んで頂きたいと思います。イヤーッ!

効果がない事例
事例 メモ 定期的変更より効果のある対策
他サイト等と同じパスワードを共有しているアカウント 共有中の全アカウントを定期的変更するのは非現実的 そもそも使い回しをしない!
暗号化zipファイル等のパスワード 前回保存した前回のパスワードで暗号化されたファイルを入手されれば全く意味が無い。 ベストアンサーは難しいが、最初から十分な強度のパスワードを設定する、PGP/GnuPG等で設定する、TrueCryptの様なダミーコンテナが利用できるものを併用する辺りが考えられる?
一般的なオンラインバンキングアカウント 攻撃成功時の金銭的利益が大きい為、パスワード入手後管理者に気付かれないうちに攻撃者が時間をかけず攻撃する可能性が高い*2 二要素認証、ログインアラート通知、設定変更通知メール、アカウントアクティビティ表示、誤入力時のアカウントロック、取引通知メール
RMTや他ユーザーにアイテム譲渡が可能なオンラインゲームアカウント 二要素認証、ログインアラート通知、設定変更通知メール、アカウントアクティビティ表示、誤入力時のアカウントロック
OpenID等の他サイトログインに利用しているアカウント 定期的変更によるメリットは通常より高いが、対策方法や効果の限界は通常のアカウントと変わらない 二要素認証、ログインアラート通知、設定変更通知メール、アカウントアクティビティ表示、誤入力時のアカウントロック
ストーキングの意味が少ないSNSWebサービスアカウント 二要素認証、ログインアラート通知、設定変更通知メール、アカウントアクティビティ表示、誤入力時のアカウントロック
効果がある時もあるが運任せ過ぎてあるとは言い難い事例
事例 メモ 定期的変更より効果のある対策
RMTもアイテム譲渡も不可でストーキングの意味もないオンラインゲームアカウント 攻撃者がアカウント削除等悪戯目的であれば削除までにパスワード変更が間に合う可能性は現実的でない。 二要素認証、ログインアラート通知、設定変更通知メール、アカウントアクティビティ表示、誤入力時のアカウントロック
効果がある事例
事例 メモ 定期的変更より効果のある対策
ストーキングする意味があるSNSやオンラインゲーム 二要素認証、ログインアラート通知、設定変更通知メール、アカウントアクティビティ表示、誤入力時のアカウントロック
ストーキングする意味があるメールアカウント(Webメール) つきまといだけでなく、パスワードリセットや二要素認証に使われているメールアカウントも含む 二要素認証、ログインアラート通知、設定変更通知メール、アカウントアクティビティ表示、誤入力時のアカウントロック
ストーキングする意味があるPOP3やIMAP4のメールアカウント POP3/IMAPでアクセス可能なWebメールも含む。つきまといだけでなく、パスワードリセットや二要素認証に使われているメールアカウントも含む。 プロトコル上対策が難しい?? 情報求む!!
継続して社外秘情報を剽窃する事に利益のある社内ネットワーク/PCのアカウント 外部からの侵入を防ぐネットワーク構成、リモート操作をさせないセキュリティパッチ適用、マルウェア感染を防ぐセキュリティ対策や実行ソフト制限
確実に口座残高が時間経過で膨らむ人のオンラインバンキング 入出金明細をいちいちチェックしてる攻撃者に限る 二要素認証、ログインアラート通知、設定変更通知メール、アカウントアクティビティ表示、誤入力時のアカウントロック、取引通知メール
化石の様な前時代のシステム /etc/passwdにパスワードを格納しているタイプ さっさとリプレイスしろ!

補足

なお『定期的変更タイミング < 攻撃者がパスワードを入手してから攻撃を開始するまでの時間』の図式が期待し辛いものは、運任せ以前のものとして『効果がない』にまとめていこうと思います。何故なら『ではどれぐらいの頻度で定期的に変更すべきか?』の結論を出さない限り、そもそも左辺右辺の比較のしようが出来ないからです。
また『『攻撃者がパスワードを入手してから攻撃を開始するまでの時間』は比較的長い』という主張をするには、『攻撃を遅らせると攻撃者の利益が増える』前提でもない限り性善説(?)頼み過ぎる為ひとまず「効果がない」または「効果がある時もあるが運任せ過ぎてあるとは言い難い事例」に入れていきます。
「こういうのも追加していこう!」「こういう代わりの対策があるよ!」という情報があれば、コメント欄等でご連絡頂ければありがたいです。

*1: http://security.srad.jp/story/16/06/27/2030224/

*2:時間をかけるとすれば送金先口座の準備や口座残高の多いアカウントの抽出が考えられるが、前者は前もって準備可能だし後者も下手に怪しいアクセスを増やしてサイトに気付かれるリスクを犯してまでやる価値があるかは疑問なところ。