米国国立標準技術研究所( NIST )は、連邦システムのパスワードポリシーを革新し、長年続いてきた問題のある慣行から脱却しようとしています。 NIST の特別出版物800-63-4の草案では、政府機関や関連組織のパスワードセキュリティへのアプローチを大きく変える可能性のある新しいガイドラインが概説されています。
NIST が提案する主な変更点は以下の通りです:
-
強制的なパスワードリセットの廃止: 定期的なパスワード変更を強制する慣行は、ユーザーがより弱く覚えやすいパスワードを作成する傾向があるため、逆効果である可能性があると認識されるようになりました。
-
文字タイプの要件の撤廃: 大文字、小文字、数字、記号の組み合わせを強制する時代は終わりました。 NIST は現在、厳格な構成ルールのない長めのパスワードを推奨しています。
-
セキュリティ質問の禁止: ユーザーの最初のペットの名前を尋ねるなどの知識ベースの認証は、ソーシャルエンジニアリングや推測攻撃に対して脆弱であるため、禁止されることになりました。
-
最小パスワード長の増加: 8文字の最小長を維持しつつ、 NIST は現在、少なくとも15文字のパスワードを推奨しています。
-
文字の受け入れ拡大: 新しいガイドラインでは、パスワードにすべての印刷可能な ASCII 文字と Unicode を受け入れることを提案しており、各 Unicode 文字を1文字としてカウントします。
これらの変更は、多くの従来のパスワードポリシーが意図せずにセキュリティの悪い慣行を促進する可能性があるという理解の高まりを反映しています。例えば、頻繁なパスワード変更は、ユーザーが簡単なパスワードを作成し、わずかな修正を加えるだけになりがちで、結果的にクラッキングされやすくなります。
これらのガイドラインは主に連邦システムを対象としていますが、様々な業界のパスワードポリシーに影響を与える可能性があります。連邦政府と関わりのある組織は、これらの新しい基準に準拠する必要があり、より使いやすくセキュリティに焦点を当てたこれらの慣行がより広く採用される可能性があります。
NIST の文書はまだ第2草案の段階で、一般からのフィードバックを受け付けていることに注意することが重要です。しかし、これは使いやすさと現代のサイバー脅威に対する堅牢な保護の両方を優先する、より実用的で効果的なパスワードセキュリティ対策への大きな転換を示しています。
パスワードマネージャーがより普及し、効果的なサイバーセキュリティに対する理解が進化するにつれ、 NIST のこれらの新しいガイドラインは、セキュリティ慣行を現在の技術的現実に合わせる一歩を表しています。