今後 パスワード ではなく パスフレーズへ? No4934
PC や スマホで WEBサービスなどにログインする際に必要なのが「パスワード」
というか あらゆるネットサービス(それが 国家サービスであるマイナンバーカードでも)には「パスワード」は必要なのだが、セキュリティのうるさいサイトなどでは 定期的にそれを変更する様 要求してくる。
しかも そのパスワードには
大文字・小文字・数字・記号の全てを使ってください
なんて要求もある。使う側からすれば サイトごとにパスワードを変えるのも覚えづらくめんどくさい。
そして それを何かに記録しておかないと忘れてしまう というリスクも多いにある。
ところが どうやら
大文字・小文字・数字・記号の全てを使ってください
との要求は安全性を高めることにはならない との研究結果が・・・・
こんな記事が
パスワードに関するガイドラインで最も参照されているものの1つが、米国立標準技術研究所(NIST)の認証に関するガイドライン「NIST SP 800-63」であるそうだが その中で
「パスワードに対して他の構成ルール(例:異なる文字タイプの混合を要求する)を課してはならない」
とあるそうだ。
上述した多くで要求される、大文字・小文字・数字・記号を組み合わせたパスワードは実はNGなのだ。
異なる文字タイプを組み合わせればパスワードの候補が増えるので、安全性が高まるように思えるのだが、実は複雑なパスワードは必ずしもそうではないらしい。複雑さを要求された利用者は、極めて予測可能な方法で応じることが多いからだと過去の研究で明らかにされているという。
例えば「password」をパスワードとして選ぼうとしている人は、
大文字と数字を含めることを要求されると「Password1」を
記号も要求されると「Password1!」を
選ぶ可能性が高いのだ・・・・・と(小生もそうだったりする あなた様は どうですか?)
では どうすれば安全性が高まるか❔?上記の記事では
「パスワード」
ではなく
「パスフレーズ」
つまり 文書にして文字の数を増やすということで 安全性が高まるとしている。
最終的に SP 800-63 第4版 第2次ドラフトに記載されたのは
1.パスワードの最小文字数を8文字以上とすることを必須とし、最小文字数を15文字以上とすることを推奨する
2.最大パスワード長を少なくとも64文字まで許可することを推奨する
3.パスワードに全ての印刷可能なASCII文字及びスペース文字を受け入れることを推奨する
4.パスワードにUnicode文字を受け入れることを推奨する。パスワードの長さを評価する際には、各Unicodeコードポイントを1文字として数える
5.パスワードに対してその他の構成ルール(例:異なる文字タイプの組み合わせを要求する)を課してはならない
6.利用者に定期的なパスワード変更を要求してはならない。ただし、認証情報が侵害された兆候がある場合は、変更を強制することが必須である
7.未認証の人がアクセスできるヒントを利用者が保存することを許可してはならない
8.パスワードを選ぶ際に、知識ベースの認証やセキュリティー質問(例:「あなたの最初のペットの名前は?」)を使用するよう促してはならない
9.提出されたパスワード全体を検証する必要がある(すなわち、切り捨ててはいけない)
なのだそうだ。
例えば 本ブログを読むのにもしパスワード(パスフレーズ)が必要で
Watashi ha koyazi sanga daikirai
なんてしておけばいいのかな????(スペースの置き方にも意味が出るようだ)
なんか万能なパスフレーズを考えなければ・・・・・と考える こやじである。