パスワードは定期的に変更しなくてよい

(1/1)
Windows 10
パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する――2003年(平成15年)、米国立標準技術研究所(NIST)が「NISTスペシャルパブリケーション800-63 別表A」に記載したこのルールは、セキュリティ業界の定石となっていました。
しかし、このルールを作成したビル・バー氏は、これらが間違いだったと語り、2017年(平成29年)6月にポール・グラッシ氏によって全面改訂された「800-63」が公開されました。改訂版にはパスワード期限のアドバイスはなく、特殊文字を必須条件にしていません。

新しいパスワード運用方法

実際、90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だったといいます。たとえば、"Pa55word!1" を "Pa55word!2" に変えただけなど。これでは悪意をもった攻撃者を防ぐことはできません。
また、パスワードの使い回しをする人が増え、1つのパスワードが漏洩すると、芋づる式に多くのサイトへの攻撃ができるようになってしまいました。

2017年(平成29年)6月に改訂された「Digital Identity Guidelines 800-63B」の 5.1.1 Memorized Secrets では、
  1. パスワード(secrets)は記憶する
  2. 8文字以上であること
  3. 複雑であることを要件にしてはならない
  4. 定期的に変更する必要はない
  5. パスワードが盗まれた可能性がある場合には変更すること
などと述べています。

要するに、パスワードは記憶すべきもので、記憶しにくい意味不明な文字記号を使うよりは、単語を複数並べた長いパスワードの方が破られにくいと言っています。

2024年版では

2024年(令和6年)10月7日に発行された 830-63800-63B3.1.1.Passwords では、次のように改められました。
  1. パスワードは8文字以上にすること。15文字以上であることが望ましい。
  2. システムは、少なくとも64文字のパスワードを入力できるようにすること。
  3. システムは、パスワードとして印刷可能なASCII文字とスペース文字を受け入れられること。
  4. システムは、パスワードとしてUnicode文字を受け入れられること。
  5. システムは、パスワードに異なる文字タイプの混在を要求するなどのルールを課さないこと。
  6. システムは、ユーザーにパスワードを定期的に変更することを要求してはならない。ただし、パスワード流出の可能性がある場合には変更を強制することが望ましい。
  7. システムは、認証されていない請求者がアクセスできるヒントを加入者が保存することを許可してはならない。
  8. システムは、加入者にパスワードを選択する際に知識ベース認証やセキュリティの質問を使用するように求めてはならない。
  9. システムは、送信されたパスワード全体を検証すること。

参考サイト

(この項おわり)
header