米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の「NISTスペシャルパブリケーション 800-63」は、今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られました。改定には2年かかり、作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていたそうです。
2003年に作成された8ページの文書には、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていました。
いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字(記号)を必須条件にしていません。
これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べています。
今では、おかしな文字列より長く覚えやすいフレーズの方が支持されています。
さらに NISTによると「ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけです」と述べています。
パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくいと言います。文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためと述べています。
二段階認証など認証の多様化が進んではいますが、悩まされる事も多いパスワードの設定です。覚えやすい長い文字列、例えば自身が感動したフレーズ「love is love is love is love is love is love cannot be killed or swept aside.」なども良いかも知れません(^^)
- 2017 draft update to NIST password standards(for the U.S. federal government) 800-63
- チョコっとプラスパスワード(IPA 独立行政法人 情報処理推進機構)
パスワード管理に関する有名な冊子(NIST Special Publication 800-63)の執筆者ビル・バー氏(72)は、あれは失敗作だったと告白しています。
- あのパスワード規則、実は失敗作だった(WSJ 日本版)