「パスワードの変更はこまめに。数字に大文字小文字を混ぜて推測しにくいものに。」コンピュータネタ、目次へ
業界標準となっている原則である。というわけで、○日ごとにパスワードを変更しなさいというお達しがやってきて、場合によってはシステムにより「パスワードを一定期間以上変更しないとワーニング/ロック」という管理がされることになる。この一定期間以上、というのがポイントでつまり変更期限が休日に当たる場合、その前営業日に変更しておかねばならないことになる。
結果、変更日は徐々に前倒しになる。それって本当にいいのか?土日が休みだとパスワード変更日は金曜日に集中してゆくことになる。当然、サーバーの負荷は集中するし、パスワード変更に伴うトラブル(変更のボタンをクリックした後妙にネットワークが遅くなったりすると、どっちになったかわからず苦労する)も、週末を控えてサーバー負荷も増えるだけに一層頻度が高くなりそうだ。
試しにプログラムを書いてシミュレーションしてみた。変更インターバルは30日。今年の4月の1日から30日にばらけていたパスワード変更日が(初期値は休日もパスワード変更者がいるものとした)、いったいどれくらいで金曜日に集中するか?
結果は7月に全員金曜日となった。思いのほか早く集中してしまう。ちなみに変更期限の翌営業日にパスワードを変更してよいとした場合は、確かに月曜日と金曜日に集中する傾向があるが、単一の曜日に集中することは避けられる。さらにはそれ以外の曜日にも一定量残るため、ピークは相当程度緩和される。
つまりシステムの負荷分散という点から考えると、パスワード変更期限が休日だった場合は翌営業日(多分設定上は、変更期限が過ぎた初回のログイン時にパスワード変更を求める)とした方が望ましいことが証明されたわけだ。冒頭にあげた業界標準を提唱したビル・バー氏も、あのルールは間違いかもしれない、と遺憾の意を表していると報道がなされた。
これは、パスワード破りの手段が「類推」という人間的なものから「順列総当たり」のコンピュータならではのものに移行したという技術革新がなされたせいでもあろう。
というわけで、コンピュータシミュレーションによりパスワード変更タイミング問題点も証明されたことだ。変更期限日との兼ね合いも見直しを入れるのがよいかもしれない。