「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表セキュリティニュースアラート

NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。

» 2024年09月30日 08時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

訂正のお知らせ

本文中で、修正前は「パスワードポリシーに関するガイドライン『NIST Special Publication 800-63B』の改訂版」と記載していましたが、正しくは「『NIST Special Publication 800-63B-4』の第2版公開草案」の誤りでした。誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年9月30日15時20分更新)。

 米国立標準技術研究所(NIST)は2024年8月21日(現地時間、以下同)、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を発表した。

 同草案では定期的なパスワードの変更や異なる文字タイプの混在(例えば数字、特殊文字、大文字小文字を組み合わせる)を義務付けるべきではないことが提案されている。

「パスワードの定期的な変更は要求するな」 NISTがベストプラクティスを提案

 現時点でのNISTが推奨しているパスワードに関する最新の規定は以下の通りだ。

  1. 検証機関と資格情報サービスプロバイダー(CSP)はパスワードの長さが最低8文字であることを義務付けるものとし、パスワードの長さが最低15文字であることを義務付けるべきである
  2. 検証機関とCSPは少なくとも64文字までパスワードを許可すべきである
  3. 検証機関とCSPはパスワード内の全ての印刷可能なASCII [RFC20]文字とスペース文字を受け入れるべきである
  4. 検証機関とCSPはパスワードにUnicode [ISO/ISC 10646]文字を受け入れるべきである。また、パスワードの長さを評価する際、各Unicodeコードポイントは1文字としてカウントされるものとする
  5. 検証機関とCSPはパスワードに対して他の構成ルール(異なる文字タイプの混在を要求するなど)を課してはならない
  6. 検証機関とCSPはパスワードの定期的な変更をユーザーに要求してはならない。ただし、認証侵害の証拠がある場合は変更を強制する
  7. 検証機関とCSPは加入者が認証されていない請求者からアクセス可能なヒントを保存することを許可してはならない
  8. 検証機関とCSPは加入者にパスワードを選択する際に知識ベース認証(KBA)(例えば「最初のペットの名前は何ですか」など)やセキュリティの質問を使用するよう求めてはならない
  9. 検証機関は提出されたパスワードを検証しなければならない

 NISTのガイドラインはセキュリティとユーザーの利便性のバランスを考慮した内容になっているものとみられる。同ガイドライドに対してNISTは2024年10月7日を期限にフィードバックを求めており、コメント内容を加味して今後改訂版が公開される可能性がある。企業や個人は最新のガイドラインに従い、パスワードを設定することが望まれる。

Copyright © ITmedia, Inc. All Rights Reserved.