パスワードクラッカーは、他人が推測しやすい脆弱なパスワードを使っていないかどうかをチェックするために使うツールだ。特定のプロトコル向けのものもあれば、1つで複数のプロトコルに対応しているものまで、機能や使い勝手はさまざまだ。今回はその中から、筆者が実際に使用している3つのパスワードクラッカーを紹介しよう。

短期的に変更されるパスワードの例としては、オンラインバンキングなどが挙げられる。こうしたサービスでは、ほんの少ない金額でも預金を操作した場合、ログインの日時や明細などの履歴（中には、操作しただけであらかじめ設定したメールアドレスに通知が届くものもある）から不正に気付く可能性が高い。従って、悪意のあるユーザーは、パスワードをクラックしたら短期間にことをすませようとするだろう。
ただ、オンラインバンキングでは、一般に思われているほどパスワード単体の実質的な意味は重くはない（もちろん、決してパスワードが無意味なものというわけではない）。だが、最近のオンラインバンキングサービスのほとんどは、ワンタイムトークンやマトリックス表などを組み合わせた多要素認証を採用している。
別の例として、サーバへの侵入を考えてみよう。もしクラックされ侵入されてしまい、その後数時間もあれば、情報の窃取、rootkitの設置、バックドアアカウントの作成、ボットネットへの参加など、ありとあらゆる被害を受ける可能性が考えられる。決して傷は浅くなく、「食い止められた」などといえるレベルではない。
つまり、パスワードをクラックされた後、短期間のうちに被害を被る可能性が高いシステムで被害範囲を最小限に抑えるには、パスワードの定期的な変更よりもむしろ、改ざん検知やIDSといった早期発見のシステムや、アウトバウンドパケットの制限などといった、アクセスコントロールの方が重要だと筆者は考える。
次に、長期的に被害を受ける恐れがあるケースを見てみよう。社内ネットワークなどで用いられる機密情報の閲覧権限のパスワードが破られた、というような場合である。

パスワードの定期変更という“不自然なルール” (3/4)：セキュリティ・ダークナイト（6） - ＠IT

一言で「パスワードを定期的に変更する」といっても、1人のユーザーが使うパスワードは1つではない。

皆さんもこの機会に、自分が扱うパスワードを数えてみてほしい。きっと、1つや2つではないはずだ。筆者もざっと数えただけでも軽く10は超えてしまっている。システム管理を担当していれば、さらにサーバ、ネットワーク機器などのパスワードまで加わることになる。

こんな状況で、「これら複数のパスワードをすべて定期的に変更しろ」と言われたらどうするだろうか？

おそらくセキュリティに関心を持ち、意識の高い方であれば、自分なりの命名規則に基づいて個別のパスワードを設定し、運用していることだろう。しかし、それをすべての人に求めるのは酷な話である。そのような状況を考慮すると、パスワードの定期的な変更を行うことで、どうしても自身が「覚えやすい」パスワード、つまりは「クラックされやすい」パスワードを設定してしまいがちではないだろうか。その上、30日や60日といった期間で定期変更を求められれば、複数のシステムで同一パスワードの使い回しが発生してしまう可能性も高い。

パスワードの定期変更という“不自然なルール” (3/4)：セキュリティ・ダークナイト（6） - ＠IT

あらためて、強固なパスワードを設定することの重要性を認識していただけたと思う。そして、パスワードの定期的な変更は無意味だとまではいわないが、それよりも先にパスワードの使い回しについて考え直す方が有効ではないかと筆者は考える。
今回はパスワードの設定に関する「伝説」を取り上げたが、これに限らずセキュリティの世界では、さまざまな「対策」「情報」が発信されている。だが、その情報の中には、形骸化しているもの、「そこにない危機を、あたかもそこにある危機のように煽る情報もまだまだたくさんあると感じている。筆者も同じ業界にいる人間として反省しなければいけないと感じることも多々ある。

パスワードの定期変更という“不自然なルール” (4/4)：セキュリティ・ダークナイト（6） - ＠IT