「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。
多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。
これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。
パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。
新しく定めた標準では、NISTはオンラインツールやソフトウェアが「定期的にパスワードを変更するようユーザーに要求してはならない」としている。これは、頻繁な変更がかえって脆弱なパスワードの使用につながる可能性があるためである。ただし、パスワードの侵害が疑われる場合は、即座に変更を強制する。
パスワードの長さについては、最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。
文字種については、印刷可能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。これは、そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可能性があるためである。
パスワード選択時には、一般的に使用や予想される、または過去に侵害されたパスワードのブラックリストと照合する。これにより、脆弱なパスワードの使用を防ぐ。ブラックリストに含まれるパスワードが選択された場合、システムは別のパスワードを選択するよう求め、拒否の理由を説明しなければならない。
パスワードマネージャーの使用を許可し、パスワード入力時の「貼り付け」機能も許可すべきである。これは、複雑で一意のパスワードの使用を促進するためである。また、入力中のパスワードを一時的に表示するオプションを提供することが推奨される。これにより、ユーザーは入力ミスを防ぐことができる。
※Innovative Tech:このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。X: @shiropen2