Passwordは、おかしな文字列より長く覚えやすいフレーズに(NIST)

A Wikipedia sign in form requesting a username and password / Wikipedia

米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の「NISTスペシャルパブリケーション 800-63」は、今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られました。改定には2年かかり、作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていたそうです。

2003年に作成された8ページの文書には、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていました。

いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字(記号)を必須条件にしていません。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べています。

今では、おかしな文字列より長く覚えやすいフレーズの方が支持されています。さらに NISTによると「ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけです」と述べています。

パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくいと言います。文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためと述べています。

二段階認証など認証の多様化が進んではいますが、悩まされる事も多いパスワードの設定です。覚えやすい長い文字列、例えば自身が感動したフレーズ「love is love is love is love is love is love cannot be killed or swept aside.」なども良いかも知れません(^^)

NIST Advanced Measurement Laboratory (AML) building Gaitherburg, MD. / Wikipedia

パスワード管理に関する有名な冊子(NIST Special Publication 800-63)の執筆者ビル・バー氏(72)は、あれは失敗作だったと告白しています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です