新しいパスワード運用方法
実際、90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だったといいます。たとえば、"Pa55word!1" を "Pa55word!2" に変えただけなど。これでは悪意をもった攻撃者を防ぐことはできません。
また、パスワードの使い回しをする人が増え、1つのパスワードが漏洩すると、芋づる式に多くのサイトへの攻撃ができるようになってしまいました。
2017年(平成29年)6月に改訂された「Digital Identity Guidelines 800-63B」の 5.1.1 Memorized Secrets では、
要するに、パスワードは記憶すべきもので、記憶しにくい意味不明な文字記号を使うよりは、単語を複数並べた長いパスワードの方が破られにくいと言っています。
また、パスワードの使い回しをする人が増え、1つのパスワードが漏洩すると、芋づる式に多くのサイトへの攻撃ができるようになってしまいました。
2017年(平成29年)6月に改訂された「Digital Identity Guidelines 800-63B」の 5.1.1 Memorized Secrets では、
- パスワード(secrets)は記憶する
- 8文字以上であること
- 複雑であることを要件にしてはならない
- 定期的に変更する必要はない
- パスワードが盗まれた可能性がある場合には変更すること
要するに、パスワードは記憶すべきもので、記憶しにくい意味不明な文字記号を使うよりは、単語を複数並べた長いパスワードの方が破られにくいと言っています。
2024年版では
2024年(令和6年)10月7日に発行された 830-63 の 800-63B の 3.1.1.Passwords では、次のように改められました。
- パスワードは8文字以上にすること。15文字以上であることが望ましい。
- システムは、少なくとも64文字のパスワードを入力できるようにすること。
- システムは、パスワードとして印刷可能なASCII文字とスペース文字を受け入れられること。
- システムは、パスワードとしてUnicode文字を受け入れられること。
- システムは、パスワードに異なる文字タイプの混在を要求するなどのルールを課さないこと。
- システムは、ユーザーにパスワードを定期的に変更することを要求してはならない。ただし、パスワード流出の可能性がある場合には変更を強制することが望ましい。
- システムは、認証されていない請求者がアクセスできるヒントを加入者が保存することを許可してはならない。
- システムは、加入者にパスワードを選択する際に知識ベース認証やセキュリティの質問を使用するように求めてはならない。
- システムは、送信されたパスワード全体を検証すること。
参考サイト
- Digital Identity Guidelines 800-63:NIST 2017年6月
- Digital Identity Guidelines 800-63:NIST, 2024年10月
- あのパスワード規則、実は失敗作だった:WSJ, 2017年8月9日
- 不正ログインどう防ぐ 最低限知っておきたいパスワード設定:ITmedia,2018年9月3日
- パスワードは定期的に変更してはいけないのか、デジタルネイティブの末路:ネットロアをめぐる冒険
- PHPで覚えやすいパスワードを作る:ぱふぅ家のホームページ
- パスワードは定期的に変更しなくていい:おやじまんのだめだこりゃ日記
- 「パスワードは定期的に変更してはいけない」--米政府:よんまるのブログ
(この項おわり)
しかし、このルールを作成したビル・バー氏は、これらが間違いだったと語り、2017年(平成29年)6月にポール・グラッシ氏によって全面改訂された「800-63」が公開されました。改訂版にはパスワード期限のアドバイスはなく、特殊文字を必須条件にしていません。