編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

あの「面倒なパスワード作成ルール」、作った人も後悔していた

Liam Tung (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2017-08-16 08:30

 現在では間違っていたと見なされている、広く普及した従来のパスワード作成ルールの作者は、このルールを作ったことを後悔していると告白した。

 大文字、小文字、数字、記号を使った覚えにくいパスワードを作らされ(しかもそれを定期的に変更することを義務づけられ)て、どうしてこんなルールがあるのかと憤ったことがある人は多いだろう。それはおそらく、どこかの開発者が、米国立標準技術研究所(NIST)が2003年に作成した文書に従ったためだ。

 この8ページの「NIST Special Publication 800-63別表A」は、NISTの元管理職であるBill Burr氏によって作成された。同氏はすでに引退しており、今では72歳になっている。

 Burr氏は、The Wall Street Journalの取材に対して、「今では、わたしが決めたことの大部分について後悔している」と語った。

 NISTは2017年6月にパスワード管理ガイドラインの改訂版を最終決定したが、新たなガイドラインでは、同氏が書いた文書に含まれていた推奨事項の多くについて、真逆のことが書かれている。

 最新版では、ユーザーに対して定期的なパスワードの変更や複雑なパスワードを要求しないよう推奨している一方で、新しいパスワードがすでに破られていないか、あるいは過去に漏えいしたパスワードリストで、よく使われていることが分かっているパスワード(「1234567」や「password」)ではないかをチェックすることを新たに求めている。

 改訂された文書にも書かれているように、過去に漏えいしたパスワード(haveibeenpwnedのデータベースにはすでに数億件のパスワードが収録されている)の分析によれば、複雑なパスワードや定期的な変更を要求するルールは、従来考えられていたほどにはメリットがない一方で、システムの使い勝手を損なっているという。

 例えば、パスワードに「password」を使おうとして、大文字と数字が含まれていないとしてシステムに拒否されたユーザーは、「Password1」を選んでしまうかもしれない。また、定期的にパスワードを変更させると、数十のシステムにアクセスする必要がある人は、パスワードを覚えるのが困難になってしまう。中には、忘れるたびにパスワードのリセットを要求しなくてはならず、時間を無駄にしている人もいるだろう。

 元々、米陸軍のメインフレームプログラマーだったBurr氏は、New York Timesに対して、本当は実際に使われているパスワードを元にしてガイドラインを作りたかったが、2003年にはその情報が手に入らなかったと述べている。同氏は、NISTのコンピュータ管理者に対して、実際に使われているパスワードを見せてほしいと依頼したが、拒否されたという。

 このため同氏は、1980年代に発表されたコンピュータパスワードのセキュリティに関するホワイトペーパーに掲載されていた、古いデータに頼った。

 新しいガイダンスでは、新規に作成されたパスワードを検証する責任を負う管理者に対して、過去に漏えいしたパスワードや、辞書に掲載されている単語、文字の繰り返しや123、abcなどの連続した文字、ユーザー自身やサービスの名前を含む語句が、新規パスワードに使われていないかをチェックするよう推奨している。

 管理者がユーザーに対してパスワードの変更を強制すべきなのは、パスワードが漏えいした確証がある場合だけとなった。また無作為な長いパスワードを使用する場合、パスワードマネージャを利用できるように、ユーザーがパスワードをペーストできるようにすべきだと推奨している。

 さらに同ガイドラインでは、パスワードの長さに関しても言及しており、ユーザーは少なくとも8文字以上のパスワードを選ぶべきであり、システム側も最低64文字のパスワードに対応すべきだと述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    なぜ、2021年にすべてのマーケターが「行動経済学」を学ばねばならないのか?

  2. セキュリティ

    SIEMとEDRが担うべき正しい役割とは?企業のセキュリティ部門が認識しておくべき適切なツールの条件

  3. クラウドコンピューティング

    デザインシンキングによるAIと課題のマッチング!現場視点による真のデジタル改善実現へ

  4. 経営

    なぜ成長企業の経営者はバックオフィス効率化に取り組むのか?生産性を高めるための重要な仕組み

  5. 仮想化

    Microsoft 365を利用する企業が見逃す広大なホワイトスペースとは?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]