“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
ITmedia NEWS / 2024年10月7日 8時5分
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表
「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。
多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。
これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。
パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。
新しく定めた標準では、NISTはオンラインツールやソフトウェアが「定期的にパスワードを変更するようユーザーに要求してはならない」としている。これは、頻繁な変更がかえって脆弱なパスワードの使用につながる可能性があるためである。ただし、パスワードの侵害が疑われる場合は、即座に変更を強制する。
パスワードの長さについては、最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。
文字種については、印刷可能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。これは、そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可能性があるためである。
パスワード選択時には、一般的に使用や予想される、または過去に侵害されたパスワードのブラックリストと照合する。これにより、脆弱なパスワードの使用を防ぐ。ブラックリストに含まれるパスワードが選択された場合、システムは別のパスワードを選択するよう求め、拒否の理由を説明しなければならない。
パスワードマネージャーの使用を許可し、パスワード入力時の「貼り付け」機能も許可すべきである。これは、複雑で一意のパスワードの使用を促進するためである。また、入力中のパスワードを一時的に表示するオプションを提供することが推奨される。これにより、ユーザーは入力ミスを防ぐことができる。
※Innovative Tech:このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。X: @shiropen2
外部リンク
この記事に関連するニュース
-
BlackBerry調査、日本企業の74%が過去12カ月間に ソフトウェアサプライチェーン攻撃や脆弱性に直面
PR TIMES / 2024年9月25日 14時15分
-
「パスワード忘れ」のストレス解消へ、韓国で急速に広がる「パスキー」
KOREA WAVE / 2024年9月19日 17時0分
-
Webブラウザが企業にもたらすリスクとその回避策とは
マイナビニュース / 2024年9月19日 11時30分
-
Keeper Securityがモバイル端末向けにパスフレーズ生成機能を追加
PR TIMES / 2024年9月19日 10時45分
-
Androidマルウェアから情報流出、被害拡大のおそれ
マイナビニュース / 2024年9月18日 8時56分
ランキング
-
1Windows 11 Ver.24H2が登場 Copilot+ PCとそうでないPCで実質Windowsが2つに分かれる
ASCII.jp / 2024年10月6日 10時0分
-
2iPhone操作はズボラがイイの。「Siri」と「ショートカット」アプリの基礎テクニック5選
&GP / 2024年10月6日 22時0分
-
3楽天ペイと楽天ポイントのキャンペーンまとめ【10月5日最新版】 最大20%還元や最大10万ポイント還元のチャンス
ITmedia Mobile / 2024年10月5日 11時59分
-
4ファミコンの限界に挑んだ「お色気サービス」シーン 「湯上がり姿がたまらん!]
マグミクス / 2024年10月6日 19時35分
-
5「デザイン事故りすぎて好き」 セブン-イレブン訪問→貼り出されていた“まさかのセール告知”に爆笑
ねとらぼ / 2024年10月7日 7時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください