パスワードを定期的に変更することほど面倒なことはありませんか?たとえば、あなたがアメリカの会社で働いている場合、会社は 3 か月ごとにパスワードを変更することを要求します。さらに、パスワードに何を含めることができるのか、含めることができないのかも規制されます。基準規制当局は現在、バウチャー規則のほとんどは時代遅れで不要であると宣言しました。

米国国立標準技術研究所 (NIST) は、採用を希望する新しい資格標準を提案しました。 Special Publication 800-63-4 の 2 番目の草案が NIST Web サイトに掲載され、提案されたパスワードと認証ガイダンスに対する一般のフィードバックを待っています。

標準の概要は簡潔で要点を押さえていますが、多くの企業や機関が採用している煩わしい暗号化方式に反しています。例としては、パスワードの強制リセット、文字使用の制限、特定の文字の組み合わせの要求、秘密の質問の使用などが挙げられます。これらの要件はほとんど不要です。これらは、インターネットが新しく、ほとんどの人が適切な安全衛生を理解していなかった時代の時代遅れの遺物です。

Microsoft が 2019 年のセキュリティ ベースラインで指摘しているように、これらのルールの多くは実際に悪いセキュリティ習慣を促進しています。たとえば、従業員にパスワードの変更を頻繁に要求すると、従業員は覚えたり作成したりしやすい弱いパスワードを使用することになり、その結果、解読されやすくなります。米国連邦取引委員会もこれに同意しています。

特定の文字を必要とするルールについても同様です。たとえば、「パスワードには、少なくとも 1 つの大文字と小文字、1 つの特殊記号 (句読点など)、および少なくとも 1 つの数字を含む、8 文字以上の文字が含まれている必要があります。」などです。これらの厳しい制限により、人々は BigToe@1 のようなパスワードを使用するようになります (元同僚は実際にこのパスワードを使用していました)。

SP800-63-4 は誰でも自由に読んでコメントできますが、官僚的な専門用語と長い説明が含まれているため、読むのは困難です。この組織は、「するものとする、してはならない」、「しなければならない」、「すべきではない」、およびその他の単純な用語の意味を定義するセクションが必要であると考えています。この文書は基本的に 9 つの要件と推奨事項で構成されています。

パスワード検証者または検証サービスプロバイダー:

  • パスワードは 8 文字以上、15 文字以上にする必要があります。

  • パスワードの最大長は少なくとも 64 文字にする必要があります。

  • すべての ASCII 文字とスペース文字をパスワードに使用できる必要があります。

  • パスワード内の Unicode 文字を受け入れる必要があります。パスワードの長さを評価するときは、各 Unicode コード ポイントを 1 文字としてカウントする必要があります。

  • 他の構成ルールをパスワードに課すことはできません (異なる文字タイプの混合を要求するなど)。

  • ユーザーは、定期的にパスワードを変更することを要求されてはなりません。ただし、バリデーターが侵害されたという証拠がある場合、ベリファイアーはパスワードの変更を強制する必要があります。

  • 認定されていない応募者がアクセスできるヒントをユーザーが保存することを許可してはなりません。

  • ユーザーは、パスワードを選択するときに、知識ベース認証 (KBA) (「最初のペットの名前は何ですか?」など) や秘密の質問を使用するよう求められてはなりません。

  • 送信されたパスワード全体が検証される必要があります (つまり、パスワードが切り捨てられていない)。

    • ハッカーがターゲットの高校のマスコット名や旧姓を知ったり把握したりするわけがないという乱暴な仮定を考慮すると、ルール 8 は完全に理にかなっています。しかし、ルール7は「自己矛盾」であるように思えます。認証されている場合にのみパスワード プロンプトが表示されますが、パスワード プロンプトが表示されずにパスワードを思い出せない場合は、認証できません。そうでなければ、これらのガイドラインは常識であるように見えますが、私はそれが一般的に欠けていると感じます。

    NIST は政府内の基準を管理しており、民間企業に対する強制権限はありません。たとえば、すべての消火栓が標準化された付属品を使用し、どこへ行っても同じ量の水を供給すると同時に、メンテナンス基準も確保します。

    一般に、これらの規則を遵守できるのは、政府機関および政府と直接取引を行う企業または組織のみです。たとえば、IRS は NIST ガイドラインを採用する必要がありますが、Meta はそれらを無視できます。それでも、多くの NIST 標準は、ルールが適用される業界の民間組織にまで浸透しています。 NIST サイバーセキュリティ フレームワークが良い例です。