ニュース
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表:セキュリティニュースアラート
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。
訂正のお知らせ
本文中で、修正前は「パスワードポリシーに関するガイドライン『NIST Special Publication 800-63B』の改訂版」と記載していましたが、正しくは「『NIST Special Publication 800-63B-4』の第2版公開草案」の誤りでした。誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年9月30日15時20分更新)。
米国立標準技術研究所(NIST)は2024年8月21日(現地時間、以下同)、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を発表した。
同草案では定期的なパスワードの変更や異なる文字タイプの混在(例えば数字、特殊文字、大文字小文字を組み合わせる)を義務付けるべきではないことが提案されている。
「パスワードの定期的な変更は要求するな」 NISTがベストプラクティスを提案
現時点でのNISTが推奨しているパスワードに関する最新の規定は以下の通りだ。
- 検証機関と資格情報サービスプロバイダー(CSP)はパスワードの長さが最低8文字であることを義務付けるものとし、パスワードの長さが最低15文字であることを義務付けるべきである
- 検証機関とCSPは少なくとも64文字までパスワードを許可すべきである
- 検証機関とCSPはパスワード内の全ての印刷可能なASCII [RFC20]文字とスペース文字を受け入れるべきである
- 検証機関とCSPはパスワードにUnicode [ISO/ISC 10646]文字を受け入れるべきである。また、パスワードの長さを評価する際、各Unicodeコードポイントは1文字としてカウントされるものとする
- 検証機関とCSPはパスワードに対して他の構成ルール(異なる文字タイプの混在を要求するなど)を課してはならない
- 検証機関とCSPはパスワードの定期的な変更をユーザーに要求してはならない。ただし、認証侵害の証拠がある場合は変更を強制する
- 検証機関とCSPは加入者が認証されていない請求者からアクセス可能なヒントを保存することを許可してはならない
- 検証機関とCSPは加入者にパスワードを選択する際に知識ベース認証(KBA)(例えば「最初のペットの名前は何ですか」など)やセキュリティの質問を使用するよう求めてはならない
- 検証機関は提出されたパスワードを検証しなければならない
NISTのガイドラインはセキュリティとユーザーの利便性のバランスを考慮した内容になっているものとみられる。同ガイドライドに対してNISTは2024年10月7日を期限にフィードバックを求めており、コメント内容を加味して今後改訂版が公開される可能性がある。企業や個人は最新のガイドラインに従い、パスワードを設定することが望まれる。
関連記事
- NTTが証拠暗号の必要性を証明 ゼロ知識証明に新たな展開
NTTはリセット可能統計的ゼロ知識アーギュメントを証拠暗号なしでは実現できないことを証明した。今回の成果はゼロ知識証明を活用した社会の実現に貢献するものとされている。 - 集英社はどのようにして「もはやパスワードすら入力しない」世界を実現したか?
日本マイクロソフトは「Microsoft Digital Trust Summit 2024」を開催した。同セミナーでは“トラスト”をキーワードにセキュリティの現在と将来を語る複数のセッションで構成される。その中では集英社のID管理事例も紹介された。 - 「無害そうだが、実はニセモノ」 Webで頻出する“あれ”を装った攻撃に注意
新たに発見された攻撃方法で、パスワードやWebブラウザのCookie、暗号通貨ウォレットの詳細情報が盗まれる恐れがある。この攻撃にはWebブラウザを利用する際に避けられない「あれ」が使われているという。 - WSUSが廃止に Windows Serverアップデート管理はどうなる?
Microsoftは「Windows Server Update Services」(WSUS)の廃止を発表した。この決定はWindowsの管理をクラウド中心にシンプル化するビジョンの一環であり、WSUSについては新機能開発を終了することになる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.