【大文字、小文字、数字に記号、複雑なパスワードはもうやめだ！？】米国国立標準技術研究所（NIST）がガイドラインを更新

パスワードで結局どのように管理するのが一番安全かつ便利なの？その疑問、分かります。私もいまだに分かりませんｗ。でも、これが無難な運用方法だろうというガイドラインは存在します。

この度、9月、米国国立標準技術研究所（NIST）は、パスワード管理のガイドラインを更新しました。

NIST Scraps Passwords Complexity and Mandatory Changes

推奨事項の一つは、「パスワードは最低でも15字以上が望ましい」「認証サービス提供者は少なくとも64字の最大文字数を認めるべき」とのこと。長い…。これはもはやパスワードでなく、パスセンテンスと言うべきか…。

他方、非推奨となるものもあります。「定期的な更新」「複数の文字種の使用」です。「大文字、小文字、記号、数字を含めなくてもいい、定期的な更新もいらない…だから、四の五の言わずに長いパスセンテンスを作れ！」というこですか！

さらに面白いのは「認証サービス提供者はASCIIやUnicode文字を含めることを許可するべき」とのこと。え？漢字やひらがなのパスワードもOKにせよということ？（詳しい方教えてください）。これが一般化したらパスワードの運用が激変しますね！

さはさりながら…そもそもパスワードはユーザの負担が余りに大きい認証方法です。攻撃者に認証を突破されたら「あなたの管理が悪い！」となりがちです。みんなパスワードは嫌いですよね。早くパスワードレス認証が当たり前になる世の中が来たらいいなと思います。