別の例として、サーバへの侵入を考えてみよう。もしクラックされ侵入されてしまい、その後数時間もあれば、情報の窃取、rootkitの設置、バックドアアカウントの作成、ボットネットへの参加など、ありとあらゆる被害を受ける可能性が考えられる。決して傷は浅くなく、「食い止められた」などといえるレベルではない。
つまり、パスワードをクラックされた後、短期間のうちに被害を被る可能性が高いシステムで被害範囲を最小限に抑えるには、パスワードの定期的な変更よりもむしろ、改ざん検知やIDSといった早期発見のシステムや、アウトバウンドパケットの制限などといった、アクセスコントロールの方が重要だと筆者は考える。
次に、長期的に被害を受ける恐れがあるケースを見てみよう。社内ネットワークなどで用いられる機密情報の閲覧権限のパスワードが破られた、というような場合である。
例えば、ある企業では、ファイルサーバに機密情報が保存されている。そしてその情報は、役員以上のアカウントしか閲覧できないよう設定されているとする。もし筆者が、その役員アカウントのクラックに成功し、なりすましを行ったと考えてみてほしい。
パスワードが変更されるまでの間、機密情報は筆者に筒抜けになるが、変更された後は、情報を盗み出すことはできなくなる。このように、社内情報のように継続的に更新・追加されていく情報に対するなりすまし被害の範囲を抑える役には立つ。効果は限定的ではあるが、定期的な変更はしないよりはする方がよい、といえるだろう。
ただそれでも、パスワードが変更されるまでの間にクリティカルな情報を閲覧されたり、場合によっては持ち出される可能性は残る。こう考えると、定期的な変更に力を注ぐよりも、堅牢なパスワードを設定してクラックされないようにすることにエネルギーを注ぐ方が合理的だ。
