Passwordは、おかしな文字列より長く覚えやすいフレーズに（NIST）

米国の業界規格設定を手掛ける国立標準技術研究所（NIST）の「NISTスペシャルパブリケーション 800-63」は、今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られました。改定には2年かかり、作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていたそうです。

2003年に作成された8ページの文書には、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていました。

いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字（記号）を必須条件にしていません。

これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べています。

今では、おかしな文字列より長く覚えやすいフレーズの方が支持されています。

さらに NISTによると「ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけです」と述べています。

パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくいと言います。文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためと述べています。

二段階認証など認証の多様化が進んではいますが、悩まされる事も多いパスワードの設定です。覚えやすい長い文字列、例えば自身が感動したフレーズ「love is love is love is love is love is love cannot be killed or swept aside.」なども良いかも知れません（^^）

• 2017 draft update to NIST password standards（for the U.S. federal government） 800-63
• チョコっとプラスパスワード（IPA 独立行政法人 情報処理推進機構）

パスワード管理に関する有名な冊子（NIST Special Publication 800-63）の執筆者ビル・バー氏（72）は、あれは失敗作だったと告白しています。

• あのパスワード規則、実は失敗作だった（WSJ 日本版）