misc.log

日常茶飯事とお仕事と

NISTがパスワードの定期的な推奨を「させるべきではない」としたガイドラインを公開

NIST(National Institute of Standards and Technology、米国国立標準技術研究所)がセキュリティに関する文書の中で、
パスワードの定期的な変更など現時点で結構常識として扱われている方針について「やるべきではない」との見解を示したようですね。

internet.watch.impress.co.jp

元の文書はこちら。まだドラフトなのかな。

DRAFT NIST Special Publication 800-63B Digital Authentication Guideline
https://pages.nist.gov/800-63-3/sp800-63b.html

この5.1.1.1章に記載がありました。

[5.1.1.1. Memorized Secret Authenticators より抜粋]
Verifiers SHOULD NOT impose other composition rules (mixtures of different character types, for example) on memorized secrets.
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically)
unless there is evidence of compromise of the authenticator or a subscriber requests a change.

  • 文字種等に関する制約を課すべきではない
  • 漏えいの事実がある場合や利用者が要求する場合を除き、パスワードの定期的な変更をさせるべきではない


結局、定期的な変更で「完全にぐちゃぐちゃなパスワード」にする人ってほとんどいなくて、たいていの場合、その人の中での法則性のあるパターンの繰り返しになるそうで。人間、そんな覚えられないですから。結果、過去の履歴などがわかった時点で今のパスワードも推測できたりしてしまうそうな。また、文字の混在や数字混在もあまり共用すると

  • @dministrat0r
  • Password1!

みたいな固定文字列に行きついてしまうケースが多かったようで。結局そうなると、別システムも同じルールになっていれば推測で認証突破できるんですよね。パスワードは「先頭大文字のサーバー名+01」みたいな感じです。

キングジム パスワードマネージャー  ミルパス PW10 ブラック

キングジム パスワードマネージャー ミルパス PW10 ブラック

ただし、「見られたかも!?」という場面があった場合や、見られる可能性がある場所ではある程度の間隔でパスワードを変えることで「漏えいしてしまったパスワードを無効化する」という効果はあります。また、「10年近く同じパスワードで暗黙のうちにみんな知ってる」みたいな、形骸化した状態を是正するにはある程度のルールは必要かとも思います。

常に「これは何のため」ということを意識しないとこういうことになっちゃうってことの良い例だったかと思います。

パスワードブック ブルー [CP013]

パスワードブック ブルー [CP013]

ID・パスワードヒントスタンプ 6mm幅

ID・パスワードヒントスタンプ 6mm幅

Pipo Password

Pipo Password