今回は皆さんが毎日必ず使っている「パスワード」について深掘りしたいと思います。
「パスワードは定期的に変更しましょう」 「英大文字・小文字・数字・記号を必ず混ぜてください」
システムからこんな要求をされて、うんざりした経験はありませんか? 実は、こうしたかつてのパスワードの「常識」は、現在では推奨されていないことをご存知でしょうか。今回は、米国の国立標準技術研究所(NIST)の最新ガイドライン(SP800-63B)などを基に、これからの時代に本当に必要な「パスワードポリシー」を分かりやすくご紹介します!
1. 「定期的な変更」はもう不要!
一番の驚きかもしれませんが、現在はパスワードの定期的な変更はユーザーに要求すべきではないとされています。 定期変更を強要すると、ユーザーは「Password01」「Password02」のように推測しやすい簡単な変更で済ませてしまい、かえってセキュリティレベルが下がる傾向があるためです。パスワードを変更するのは、「漏洩した(侵害された)可能性がある時だけ」で十分なのです。
2. 「複雑さ」よりも「長さ」が正義!
英字や数字、記号を無理やり組み合わせるよりも、「文字数が長いこと」「スペース(空白)」を含めることも許可すべきとされています。好きな歌詞や文章を「パスフレーズ」として使うのも効果的です。
3. 「使い回し」は絶対NG!推測しやすい単語も避ける
いくら長くても、他のサイトと同じパスワードを使う「使い回し」は大変危険です。あるシステムのパスワードが漏洩した場合、他のシステムへの不正アクセス(リスト型攻撃)を許してしまいます。実際に、異なるシステム間でパスワードを使い回していたことが原因で、ランサムウェアの侵入を許してしまった国内の病院の深刻な事例も報告されています。 また、辞書に載っている単語や、「123456」「aaaaaa」、ユーザーIDと同じ文字列など、容易に推測できるものはシステム側で登録を弾く設定が必要です。
4. パスワードマネージャーの活用を前提とする
長く複雑で、しかもサイトごとに違うパスワードを人間の頭だけで覚えるのは不可能です。 そこで現在は、パスワード管理ツール(パスワードマネージャー)の使用が推奨されています。システム側も、ユーザーがツールからパスワードを貼り付けられるように「ペースト機能」を許可することが求められています。
5. 「秘密の質問」は使わない
「母親の旧姓は?」「ペットの名前は?」といった「秘密の質問」は、SNSなどを調べれば他人に推測されてしまうリスクが高いため、認証には使うべきではないとされています。
(おまけ)システム管理者が裏側でやるべきこと
ユーザーの工夫だけでなく、システムを提供する側も以下の対策を実装する必要があります。
アカウントロックの実装: 手当たり次第に入力する総当たり攻撃などを防ぐため、一定回数間違えたらロックをかける機能を実装します。
安全な保存方法: パスワードを平文で保存せず、「SALT(ソルト)付きハッシュ」というオフライン攻撃に強い形式で暗号化してデータベースに格納します。
入力時のテキスト表示: モバイル端末などでの入力ミスを防ぐため、「***」と隠すだけでなく、一時的にテキストを表示できるようにします。
まとめ:パスワードは「人間の記憶」に頼らない時代へ
これからのパスワードポリシーの基本は、**「人間が覚えられないほど長く複雑なものを、管理ツールに任せて安全に使い、多要素認証(スマホや指紋などを組み合わせる認証)でさらに守りを固める」**ことです。
皆さんの会社や利用しているシステムのルールは、古い常識にとらわれていませんか? この機会に、ご自身のパスワード管理や職場のポリシーをぜひ見直してみてください