長くパスワード変更していないと危険な理由は？

ネットバンクから「パスワード変更」を推奨する電話連絡が来ました

同じパスワードだとリスクが高まる、ということでした。

なぜ、同じパスワードだと、ネットバンキングの
セキュリティリスクが高まるのかを教えて下さい。
＊電話してきた、その担当者は詳しい理由はわからないとのことでした。

webに晒されて、何度もアタックできるような環境でしたら
総当りで破られる可能性は高まると思います。
ただ、ネットバンクの場合は数回失敗するだけでロックが掛かり
また銀行側でも把握できるのでそのリスクはあまりない気がします。

数人で同一パスワードを使うような場合は
メンバーが退職したりするケースも有り、同一パスワードを使用し続ける
リスクはあります。ただ、ネットバンクは人とパスワードが1対1なので
このケースには当たらないと思います。

ソーシャルハッキングで、パスワードが盗まれて
「数年後にクラックされる」と言ったケースならば理解できます。
しかし、盗んだ当人にとって、盗んでから時間を空けてしまうと
パスワードが無効になる可能性がどんどん上がっていくので
時間を十分に空ける理由がありません。
＊ただし、「この人はしばらくパスワード変更をしない」と確信があれば別ですが。

A銀行とB銀行のパスワードを同じにしていた場合
片方が盗まれると他方も危険になる、というリスクはわかります。
ただ、それは「長くパスワード変更していないと危険な理由」とは別で
前提からして「パスワードは個別に変えましょう」という話だけかと思います。


私が考える限り
・十分な複雑さをもったパスワードで
・他のパスワードとも共有せず
・ソーシャルハッキングにも注意しておく　　のであれば
パスワード変更をしなくともリスクは高まらないように思えてしまいます。

それでも
長くパスワード変更していないと危険な理由がありましたら
アドバイスいただけると助かります。

No.8 回答者： e3tatsu 回答日時： 2014/08/07 00:01

No.7です。

ネットバンクに不正アクセスする者の目的が「口座の預金を盗むこと」とは限りません。
先の例にも挙げたように送金履歴等の"情報"を盗むことが目的ということも考えられます。

また、パスワードの定期的な変更は、情報漏洩(アカウント情報の漏洩)への対策としても有効です。
漏洩する情報は常に最新の物とは限りませんので、パスワードの定期的変更によって不正アクセス
をブロックできる可能性が高くなります。

No.7 回答者： e3tatsu 回答日時： 2014/08/06 01:20

「アカウントが既に利用者に気が付かれないようにこっそりと不正アクセスされていた」としたら、

パスワードを変更してしまえばそれ以後はアクセスできなくなりますよね。
例えば、メールアカウントへの不正アクセスでストーキングとか(？)、の対策には有効ではないでしょうか。

この回答への補足

メールアカウントへの不正アクセスでストーキング,という条件下では
確かに、「パスワードの定期変更」は有効ですね。


今回の状況は、ネットバンクなので、こっそり見られ続けるリスクは
たしかにありますね。

ただ一度、盗めば足がつくので、
「気付かれない程度、ちょっとづつ盗み続ける」とかはないと思います。



盗むとしたら、最初の一度目で全力で盗むと思いますし

そうなると繰り返しになりますが
【パスワードを盗んでから時間を空けて盗む】という
泥棒側のメリットは低いと思います。

補足日時：2014/08/06 22:49

No.6 回答者： notnot 回答日時： 2014/08/05 22:52

長くパスワードを変更していないからと言って、リスクは高まりません。

まあ、迷信のようなものです。

パスワードが何らかの理由で漏洩した場合に、例えば6ヶ月毎にパスワードを変更していると、パスワードを入手した人は最長でも6ヶ月しか使えませんが、パスワードを全く変更しないと永久に使い放題です。という位しか影響はありません。

漏洩した、パスワードが長期間使われるか、短期間かの違いしかないので、パスワードをこまめに変更するのはほとんど意味ないです。それよりも、お書きのように、
・サイト毎にパスワードを変える
・長い複雑なパスワードにする
が重要です。

No.5 回答者： Gotthold 回答日時： 2014/08/05 21:03

世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。

- piyolog
http://d.hatena.ne.jp/Kango/20130907/1378520586

上記ページにまとめられているので、
このページとそのリンク先に目を通すのが良いと思います。

おおむね、特定の条件であれば効果が無くもないが
手間の割には微妙な効果ではないかという論旨です。


> webに晒されて、何度もアタックできるような環境でしたら
> 総当りで破られる可能性は高まると思います。
例えば、暗号化されたパスワードが漏れた（もしくは漏れた可能性がある）などの問題が起こった場合はこれができることになりますので、
そのような連絡があった場合はパスワードを変えた方が良いと思います。
（長く変えていないから変更するのではなく、漏洩のアナウンスがあったから変更する。）

No.4 回答者： parts 回答日時： 2014/08/05 20:07

数年前には、一般に情報が漏れるのはサーバーより、その中で使う人が原因になることが多いと言われましたけど。

年々、クラッキングの技術は進化していますから・・・、その発想は既に古いと思った方が良いですよ。

確かに、認証先が信頼できるものなら、絶対に大丈夫です。ただ、果たして金融機関なら認証はばっちりですか？そもそも、SSLやTLSは安全ですか？もっといえば、その通信している相手サーバーは、脆弱性のない完璧な認証サーバーでしょうか？

たとえば、AESなどで暗号化されているキーのハッシュラウンドをちょっとずつ解読できるような、システムが仮にあったとします。100回サーバに同じ人の認証キーが届けば解読できると仮定しましょう。そうなると、パスワードが複雑だから解読できないという理由にはならないという意味になります。

一般に、ソーシャルネットワークなどにおけるクラッキングに限らず、情報漏洩のリスクはいくつかあります。その一つは、サーバーシステムにおける認証の脆弱性による情報の漏洩です。Heartbleedというのはご存じですか、今年になって何度か話題になっているOpen SSLにおける脆弱性です。
日本の金融機関はUFJニコスなど一部でこの脆弱性による漏洩が起きましたが・・・世界では数十万台というWebサーバーの安全なはずの認証が、筒抜けになる大問題となりました。

しかも、その問題は解決したとされた後、6月にもHertBleedに関する新たな脆弱性のHotfixが供給される事態になりました。
http://japan.zdnet.com/security/analysis/35049035/

iPhoneとMacOSではSSL暗号化された情報のすべてが、漏れる危険がある脆弱性が今年になって修正されています。
http://www.atmarkit.co.jp/ait/articles/1402/26/n …


これが、いわゆる安全と呼ばれる認証方式（SSLやTLS）の現実です。
どうしてこういう事態が起きるのかというと、これまでは鍵を出入りする人から奪って対応していたのですが、鍵穴にちょっと細工をすると、鍵のコピーが取れる。または鍵を挿した相手が分かるような仕組みを悪い人間が見つけるとどうなるでしょうか？というのが、この解です。現実でも決してできないことではないでしょう。しかし、システムだとそこは完璧だと思っているはずです。ただ、それは現実と同じで、認証する側される側のどちらかに何らかのバックドアがあれば、情報は漏れる恐れがあるのです。

もしも、パスワードが漏れたら、すぐにそれを悪用される可能性もありますが、大量に漏れていれば、自分のパスワードが使われるリスクはすぐすぐはありません。ただし、ずっと同じパスワードを使い続けていると、攻撃者によるターゲットになる恐れがあります。

だから、念のために定期的な変更を業者は求めます。定期的な変更をしていても、何か問題が起きるなら、どこに原因があるかもある程度分かりますし、業者もそこを理由に、保障しないということもありません。逆に、絶対に大丈夫だからという場合は、業者は変更を求めているにもかかわらず、変えなかったことも指摘できることになります。

そうなると利用者の損失が発生しても業者側が変更を再三求めていたにもかかわらず変えなかったという理由から免責の対象となる恐れも場合によってはあるかもしれません。
このあたりはお気をつけください。


技術の発展によって、セキュリティは一定の水準に達しましたが、セキュリティを破る技術も同様に一定の水準でいたちごっこをしています。一般にリスクというのは、高くならない（安全だと思う）気持ちが強くなるほど、そこに攻め込む余地があることを示します。だから、定期的に変更をするのが望ましいという話になります。

特に、セキュリティに関する脆弱性情報がOSやブラウザソフトなどで大々的に発表されてから、数ヶ月の間は、自分が使っているか否かにかかわらず、サービス業者は全体に周知することがあります。これは、利用者がどういう環境で使っているかがわかりませんし、利用者自身もそういう危険情報を知らないことが多いですから、定期的に通知をするのです。そして、通知を受けた場合は、何らかのリスクが、同一業者の別のユーザーにおいて起きたと考えられます。（それがユーザー要因か、業者要因かは分かりません）

そのため、それが本当にサービス事業者からの確実な連絡であったなら、それに従うのが妥当です。

No.3 回答者： mk48a 回答日時： 2014/08/05 19:03

パスワードって結構使いまわしている人が多いのですよ。

最近のLINE乗っ取りやAppleID乗っ取りなどはメルマガや懸賞サイトに登録させて、そのパスワードでアタックする手法が主流だったりします。
あなたが、十分な強度のパスワードを個別に設定していれば、それほどセキュリティリスクは高くならないと思いますが、パスワードの漏えいなんかは結構頻繁におこっています。
だいたい漏えいが発覚するのは事後で時間がたってからなので、まめに変更していれば、漏えいがあっても被害にあう確率を減らせると言えます。

No.2 回答者： testman199 回答日時： 2014/08/05 18:38

無作為に電話しているのでしょうから

電話相手はセキュリティ意識が高い人も低い人もいます

啓蒙ですから、当然セキュリティ意識が低い人に向けた案内になります

No.1 回答者： usami33 回答日時： 2014/08/05 17:36

情報漏えいはハッキングより人的ミスや故意に流出する方が多いんですよ

先日も、ベネッセで故意に流出が有ったばかりですよね。

どんなにセキュリティを強化しても、その担当者が悪い事を考えたら、幾らでも持ち出せるんですよ。

実際に漏えいしてから公になるまでのタイムラグを考えると、
まめに変更した方が良いのはこんな理由からじゃないでしょうか

この回答への補足

回答、ありがとうございます。

usami33がおっしゃっている「まめに変更した方が良い理由」は
ベネッセなど、スタッフ間でパスワードを共有されているケースですよね。


私の説明が不充分だったと思うのですが
質問をさせていただいたのは
「ネットバンクなど本人しかパスワードを知らない」ケースでの
「まめに変更した方が良い理由」です。

こちらをご存知でしたら、アドバイスいただけると助かります。

補足日時：2014/08/05 18:07