米国立標準技術研究所(NIST)が2024年8月21日にパスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」の第2版公開草案を発表しました。
いままでのパスワードルールを覆す内容で、定期的なパスワードの変更や異なる文字種類(アルファベット大文字小文字、数字、記号)の混在は不要であることが推奨されています。
今回のコラムでは「NIST Special Publication 800-63B-4」での草案を解説します。
NISTが推奨するパスワードポリシーは9つにまとめられます。
1.パスワードの長さが最低15文字であることを義務付けるべきである
2.少なくとも64文字までパスワードを許可すべきである
3.パスワード内の全ての印刷可能なASCII文字とスペース文字を受け入れるべきである
4.パスワードにUnicode文字を受け入れるべきである
5.パスワードに対して他の構成ルール(異なる文字種類の混在など)を課すべきではない
6.パスワードの定期的な変更をユーザーに要求してはならない(ただし、認証侵害の証拠がある場合は変更を強制する)
7.ユーザーが認証されていない請求者からアクセス可能なヒントを保存することを許可してはならない
8.ユーザーにパスワードを選択する際に知識ベース認証(「最初のペットの名前は何ですか」)やセキュリティの質問を使用するよう求めてはならない
9.提出されたパスワードを検証しなければならない
従来パスワードは「長く」「複雑に」「使いまわさない」を原則としていましたが、「長さを重視し、複雑さは不要」というポイントです。
長いパスワードによって攻撃者の解析時間を長くすることで、攻撃者の心理的、時間的な負担を課すことで情報を守ることにつながるのです。
結論:時代に合ったセキュリティ対策をしよう!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
