パスワードの新指針

皆様こんにちは。

奈良市富雄の行政書士　松岡です。

米国立標準技術研究所（NIST）が今夏、

パスワード認証に関する指針を約3年ぶりに更新しました。

これまで一般的とされてきた「記号や数字を混ぜる設定」や、

「ペットの名前などを使った秘密の質問による本人確認」について、

推奨しないと明確に改めています。

背景にあるのは、攻撃側の技術進化。複雑な組み合わせを求めても、

今のコンピューターの計算力では短いパスワードなら

容易に破られてしまうためです。

今回のNISTガイドラインでは、パスワードの長さを

最低15文字とするよう求めています。

短いパスワードは、ブルートフォース（総当たり）攻撃で

突破されやすいことが理由です。

また、数字・記号・大文字などの混在を義務づけたり、

秘密の質問を使った本人確認を行うことも「求めてはならない」と明記。

複雑さを求めるあまり、かえって推測しやすい文字列を

使ってしまう傾向があるからです。

NISTが企業に推奨するのは、よく使われる弱いパスワードを

登録時にブロックする仕組みです。

たとえば「password」「123456」「自社サービス名」など、

推測されやすい文字列を使えないようにする設定です。

実際、セキュリティ企業リトンシステムズの2024年の調査によると、

日本で漏えいしたパスワードの1位は「123456」、2位が「password」、

4位はキーボード配列の「qwerty」でした。

多くの人が未だにこうした単純なパスワードを使っている現実があります。

そもそもパスワードは「1要素認証」にすぎません。

安全性を高めるには、生体認証やワンタイムコードなど、

複数の認証要素を組み合わせる「多要素認証」が効果的です。

安全性を重視すれば利便性が落ち、費用もかさむ…

このバランスをどう取るかは、まさに永遠の課題です。

目まぐるしく変わるパスワードの「新常識」に、

ついていくのも一苦労ですね。