パスワードの定期的な変更は“常識”?

 パスワードの常識が変わりつつある。「パスワード破りを防ぐには、大文字と小文字、数字、記号を全て組み合わせて可能な限り複雑なパスワードにすること」「定期的に変更すること」――。従来はこれらが常識とされてきた。米国立標準技術研究所(NIST)が2006年に発行した電子認証に関するガイドラインである「SP800-63」にも沿った考え方だ。

米国立標準技術研究所(NIST)は、2017年6月に電子認証に関するガイドラインの改定版を発表(左)。パスワード運用の方針が新しくなった(上)
[画像のクリックで拡大表示]

 ところがNISTは、2017年に公開した改訂版「SP800-63-3」で方針を180度転換。「パスワードの長さは最小8文字。異なる文字種の組み合わせは課すべきではない」「定期的な変更の強制は推奨しない。変更はパスワード流出時のみ」となった。

 例えば、異なる文字種の組み合わせや定期的な変更を強いても、多くのユーザーは「Password!1」のように単純で覚えやすいパスワードを利用し続けようとする。しかし、ありがちなパスワードはどんなに複雑でも、攻撃者にとって最も破りやく、パスワードリスト攻撃の格好の標的になる。この攻撃は流出したパスワードのリストを使うので、誰かが使っていたようなパスワードは複雑でも安全とは言えないのだ。

記号や数字、大文字/小文字を組み合わせるパスワードでも規則性のあるパスワードはパスワードリスト攻撃の標的になりやすい。また、定期的な変更を義務付けても、結果的に弱いパスワードを利用しがちになるため、新しいガイドラインでは推奨されなくなった
[画像のクリックで拡大表示]

 新しいガイドラインでは、覚えやすく推測されにくい「パスフレーズ」の利用を推奨する。複数の単語を組み合わせて長い文字列にする方法だ。例えば「うちのタマは甘えん坊」から「uchinotamahaamaenbou」という20文字のパスフレーズが作れる。文字数を増やして複雑さを確保しつつ、覚えやすくなる。

 ただ、Webサイトによっては、パスフレーズだと文字数の上限に抵触して利用できない場合がある。ガイドラインでは、パスワード管理ソフトの利用も推奨する。ソフトの多くは、複雑なパスワードをランダムに生成して記憶する機能がある。パスワードの入力も、ソフトがWebページのフォームに合わせて自動的に実行するので手間が小さくて済む。

NISTの新しいガイドラインでは、パスワード管理ソフトを使うことを推奨している(画面は「RoboForm Lite」)。こうしたソフトの多くは、パスワードをランダムに生成する機能を備えている
[画像のクリックで拡大表示]

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。