資料の紹介
様々な問題があるものの、パスワードはいまだにユーザーを認証する重要な手段だ。多くの企業・組織は、「8文字以上で英数記号を組み合わせる」「定期的にリセットする」といったルールを定めて運用しているだろう。しかし、実は定期的なパスワードリセットが“危険”だったとしたらどうだろうか。
実際、米国の政府機関が順守することを義務付けられているNIST(米国国立標準技術研究所)のパスワードガイドラインでは、定期的なパスワードリセットは非推奨となっている。理由は、定期的に変えるとユーザーが覚えやすい弱いパスワードを設定し、逆効果となりかねないからだ。このため、パスワードリセットは必要なときのみに限るとしている。
本資料では、NISTによるパスワードガイドラインの内容を一般的なパスワード習慣と比較しながら解説する。具体的には、「複雑さ」「定期的なリセット」「スクリーニング(ふるい分け)」「多要素認証」「試行回数」という5つ推奨事項を取り上げる。さらに、ユーザーごとの異なるパスワードルール設定や、様々な認証方式に対応した多要素認証も実現可能なパスワードリセット・シングルサインオン(SSO)ツールも紹介する。
