私の勤務先のPCや各種システムのパスワードは、今どき信じ難いことに3か月おきの変更を強制されています。そんなことはセキュリティリスクを増加させるだけなので、総務省の「国民のためのサイバーセキュリティサイト」にあるガイドラインでも下記のように「不要」とされているのに、会社のセキュリティ担当者はいったいどういう考えなのか、一向に改めようとしていないようです。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。
この引用部で触れられているNISTのガイドラインというのがNIST SP800-63Bというものなのですが、このガイドラインが改訂されて新しいルールが定められたということでマイナビTech+に「NIST、新しいパスワードガイドライン公開 – これまでの常識を覆す新ルール」という記事が掲載されたので、私も改めて確認してみました。ただし、この記事はSP800-63Bの改訂についてまとめた別の媒体の記事を元にして起こされたもののようなので、私は原典のSP800-63Bを直接当たっています。
SP800-63Bではパスワードの要件について、以下のように記載しています。
- 多要素認証を使用しない場合は最低15文字、多要素認証を使用する場合は短くてもいいが最低8文字でなければならない(
SHALL) - 最低64文字までは受け付けるべき(
SHOULD) - 表示可能なすべてのASCII文字と空白文字を受け付けるべき(
SHOULD) - Unicode文字を受け付けるべき(
SHOULD)で、Unicode文字ごとに1文字とカウントしなければならない(SHALL) - 複数種類の文字を混ぜるなどのルールを課してはならない(
SHALL NOT) - 定期的なパスワード変更を要求してはならない(
SHALL NOT)。ただし、認証者に不正アクセスの証拠がある場合は変更を強制しなければならない(SHALL) - 認証なしにアクセス可能な場所にパスワードのヒントを保存させてはならない(
SHALL NOT) - パスワード選択時に「最初のペットの名前は?」などの知識ベース認証(KBA)や秘密の質問を使用させてはならない(
SHALL NOT) - パスワードの一部ではなく全体を入力させなければならず(
SHALL)、送信されたパスワードの全体を確認しなければならない(SHALL)
もうこの中で既に上述のパスワードの定期的な変更について「定期的なパスワード変更を要求してはならない」と明確に記載されています。しかし、これはすでに常識とされているのか、その理由については細かく説明されていません。念のためにここであえて説明しておくと、頻繁にパスワード変更を強要すると、末尾の数字を進めるだけだったり、安易で覚えやすい方法に人は流されやすいため、逆に類推されやすい弱いパスワードになるだけで結局意味がないためです。流出の疑いが出たときに初めて変更すればいいというのがこの6番の要件です。
今回特に新しいのは3番と5番でしょうか。3番で空白文字を受け付けるというのは、パスワードとして一連の自然な文章を入力できるようにすることで、覚えやすく長いパスワードを設定できるようになるというのがその理由とのことです。ただ、空白文字は誤って2文字連続して入力してしまう恐れがあるため、そのまま認証して通らなければ空白2文字を1文字に置き換えてリトライするなどの処置が必要かもしれないとされています。ちょっとこの辺りはルールとして弱いような気がしないでもありません。
現在はパスワードに大文字小文字と数字、記号をすべて1つ以上含めること、などのルールを課している場合が一般的ですが、これも5番で禁止されることになりました。これはこのようなルールを強制しても、人はPassword1!などのような安易な解決策に走りがちで、結局意味がないというのがその理由です。また使おうとした記号などが使用できないものだった時にフラストレーションを感じるともされており、これは実際に私もたびたび経験しています。1Passwordで自動生成されたパスワードで使用された記号がなぜか使えない文字だった場合、かなり理不尽に感じられて大きな不満を抱えることになりますが、これは3番のルールが守られれば解決されることですね。
また減ってはきましたが、未だに「秘密の質問」を使っているサイトも散見されるので、これも早く絶滅してほしいですね。ソーシャルハックに弱いので、質問に真面目に答えてはならないというバッドノウハウ的な教えもあるくらいです。この他にもいろいろパスワードに関していいことが書かれているので、世の中のセキュリティ担当者、特に私の勤務先の人には熟読してほしいと思います。