パスワード設定の最新トレンドについて

皆さん、パスワードを設定するときどんなパスワードにしていますか？例えば「Password」や「qwert」などにしている人はいないですよね。また、自分の誕生日だったり郵便番号だったり。パスワードを設定するとき、覚えやすさを優先して簡単なものを使いがちですよね。

そこで今回は、NIST (アメリカ国立標準技術研究所)が2024年8月に発表したDigital Identity Guidelinesをもとに私なりに解釈したパスワード設定の最新トレンドについてご案内したいと思います。

パスワードを使い回さない

皆さんは色々なクラウドサービスなどで同じパスワードをつかっていませんか？また、同じパスワードではなくても、末尾の数字だけを変えて使い回していませんか？

同じパスワードを色々なクラウドサービスで利用していると、もし1つのクラウドサービスでパスワードが漏洩するとそのサービスから入手したパスワードを使ってほかのクラウドサービスへログインすることが簡単にできます。

パスワードは長いほうがいい

当たり前の話ですが、パスワードは短いよりは長いほうがいいとのことです。これはパスワードの複雑さよりも重要だとされています。

例えばパスフレーズを利用することをお勧めします。パスフレーズとは単語を組み合わせて長いフレーズにする方法のことを言います。

例えば、「6ketodekase!e15」(ロケットで火星へいこう)などにすることでパスワードの長さは長くなります。このパスフレーズを作る際のポイントはフレーズの中の文字を数字や特殊文字に変えてしまうことです。

これにより文字だけのパスワードよりもより複雑なパスワードになります。

パスワードの変更は不要（ただし、認証情報の漏洩した場合以外）

これはクラウドサービスなどの利用者としてはどうすることもできないですが、これは主にシステム管理者が考慮すべき内容です。

利用者が希望したり、認証情報が漏洩した場合を除いて定期的にパスワードの変更はしなくてもよいとのことです。ただ、このパスワードというのは攻撃をする人が推測することが非現実的なパスワードの長さや複雑性を持っている場合になります。

パスワードマネージャーを利用する

パスワードを使いまわす原因として色々なサービスで別々のパスワードを使うと覚えきれないという問題があると思います。

そのように覚えきれないという問題はパスワードマネージャーを利用することで解決することができます。

パスワードマネージャーは自動的に複雑なパスワードを自動生成してくれる機能がある場合もあるので、パスワードを管理する方法としてはとても有効な方法になります。

ただ、パスワードマネージャーにも安全なものと安全ではないものがあるので利用する際は、レビューやサービスの安全性をよく確認した上で活用してください。

最後に

今回はパスワードについてご案内いたしましたが、パスワードだけで認証を行う方法は、必ずしも安全とはいえません。パスワードが漏洩すると、それだけで不正ログインのリスクが高まります。

できるだけ多要素認証などを利用してパスワードだけではなく別の要素を合わせて認証を行うようにすることでより安全にクラウドサービスなどをご利用できますので、ぜひ多要素認証をご活用ください。

参考文献：Temoshok D, Fenton JL, Choong YY, Lefkovitz N, Regenscheid A, Galluzzo R, Richer JP (2024) Digital Identity Guidelines: Authentication and Authenticator Management. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-63B-4 2pd. https://doi.org/10.6028/NIST.SP.800-63b-4.2pST