Malwarebytesはこのほど、「Your passwords don't need so many fiddly characters, NIST says|Malwarebytes」において、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)がクレデンシャルサービスプロバイダー(CSP: Credential Service Providers)要件のガイドライン「NIST Special Publication 800-63B」を改定したと伝えた。

同ガイドラインではパスワードの扱いを定めており、重大な変更が行われたという。

  • Your passwords don't need so many fiddly characters、NIST says|Malwarebytes

    Your passwords don't need so many fiddly characters, NIST says|Malwarebytes

新ガイドラインが定めるパスワード要件の概要

新しいガイドラインが定めるパスワード要件の概要は次のとおり。

  • パスワードに「複雑さ」(特殊文字、数字など)を強制してはならない
  • パスワードの長さは15文字以上とする。ただし、多要素認証(MFA: Multi-Factor Authentication)を併用する場合は8文字以上を許容する。最大長は少なくとも64文字をサポートする
  • 定期的なパスワードの変更を要求してはならない。ただし、侵害された証拠があれば変更を強制できる
  • 知識ベース認証(最初のペットの名前は何ですか?など)の使用を求めてはならない
  • アカウント回復手段を提供する。具体的には「保存された回復コード」、「発行されたリカバリコード」、「回復連絡先の使用」、「繰り返しの身元確認」のうち1つ以上を提供する

この他にもワンタイムパスワード(OTP: One Time Password)、レート制限、物理認証デバイス、生体認証などについても要件を定めている。ガイドラインの内容はオンラインサービスの提供者および認証システム開発者に必見の内容となっており、閲覧することが推奨されている。

これまでとは異なるパスワード要件

今回の改定ではこれまで重要とされてきた「複雑さ」を求めない特徴がある。Malwarebytesによるとユーザーに特殊文字(記号など)、数字、大文字の使用を義務づけても、セキュリティの強化にはつながらず、むしろ誤ったパスワードを生み出すだけとされる。例えば、「password」を選択するユーザーに複雑さを求めても「Password1!」などを選択する可能性が高く、意味がないとしている。

しかしながら、この要件は複雑なパスワードを否定しているわけではない。パスワードマネージャーの利用と生成される複雑なパスワードの利用は推奨しており、「強制しても意味がない」点を強調しているにすぎない。

加えて、従来利用されてきた「定期的なパスワードリセット」や「セキュリティの質問」の使用も禁止している。前者は基本的に意味がなく、侵害された場合にのみ必要とされ、後者は簡単に回避されるとして使用を認めていない。

NISTはこれら要件を満たすように認証システムを見直し、さらに「ブロックリスト」を導入するように推奨している。ブロックリストは既知の一般的に使用されるパスワード、予想されるパスワード、または侵害されたパスワードのリストで、これらに一致するパスワードの利用を拒否するように求めている。なお、完全なブロックリストを準備する必要はなく、レート制限内に突破されることのない十分なサイズがあればよいとしている。

サイバーセキュリティ環境は日々変化しており、従来のセキュリティのままでは不正アクセスを受けるリスクがある。オンラインサービスの提供者および認証システムの開発者はガイドラインを閲覧し、必要に応じてシステムを改修することが望まれている。