パスワードはどうあるべきか?#2
リュディアです。前回に引き続き NIST が公開しているドキュメント NIST Special Publication 800-63B / Digital Identity Guidelines について見ていきます。最新の版は Thu, 29 Aug 2019 の Revision 3 です。NIST の原版と日本語訳をしてくださっている版へのリンクを以下につけておきます。
前回は2つの項目が「私たちが正しいと思って運用していることに対して否定的な見解を示している」ところまで説明しました。今日はなぜ、私たちとNISTの意見が違うのか見ていきます。
まず2つの要求事項について見てみましょう。硬い文章だったので簡単に書き直すと 1つめはパスワードが侵害された、あるいはユーザからの要求が無い限りパスワードを変更すべきではない、というものです。2つめはパスワード入力時にペースト機能を使えるようにするというものです。
1年間変更していないので変更してください、というメールを受け取ったり指示を受けることがありますね。定期変更を要求するとパスワード末尾の数を増やす、記号を変えるといったより類推しやすいパスワードになることが知られているらしく、頑強なパスワードが設定されているならばむしろ変更しない方がよいとのことです。
2つ目のパスワードのペースト入力を受け入れることなのですが、これはパスワード管理ツールを利用し、強力なパスワードを手軽に使ってもらいたいとのことのようです。
この2つは正直驚きましたが、確かに理屈は通っているなと思いました。システム上、どうにもならなくて強制的に運用されているものもあるでしょうが、自分でもこのような要求があるシステムを使う場合は考えて運用するようにしたいと思います。
以前にマイクロソフトが公開したレポートにパスワードの長さや複雑さはそれほど重要ではない、というレポートもありました。悪意をもつ人たちの攻撃方法が変わってきたことによるようです。
今後、本人特定はますます重要になっていくと思います。今は過渡期なのかもしれないですね。マイナンバーカードの運用も含めて私たちも注意しながら時代についていけるようにしましょう。
では、ごきげんよう。