ゲッティイメージズ
政府機関、標準化団体、民間企業向けに技術標準を策定する連邦機関、米国国立標準技術研究所 (NIST) は、最も厄介で無意味なパスワード要件の一部を禁止することを提案しました。その主なものは、強制リセット、特定の文字の使用の要求または制限、セキュリティの質問の使用です。
強力なパスワードを選択し、それを安全に保管することは、優れたサイバーセキュリティ対策の中でも最も難しい部分の 1 つです。さらに難しいのは、雇用主、連邦政府機関、オンライン サービスのプロバイダーが課すパスワード ルールに従うことです。多くの場合、表面上はセキュリティ衛生を強化するためのルールが、実際にはセキュリティを弱めています。それでも、無名のルール作成者は、とにかく要件を課します。
狂気を止めてください!
先週、NIST はデジタル ID ガイドラインの最新版である SP 800-63-4 をリリースしました。約 35,000 語に及ぶこの文書は、専門用語や官僚用語が満載で、最後まで読むのはほぼ不可能であり、完全に理解するのも困難です。この文書では、オンラインでデジタル ID を認証するために使用される方法の有効性を判断するための技術要件と推奨されるベスト プラクティスの両方が規定されています。連邦政府とオンラインでやり取りする組織は、このガイドラインに準拠する必要があります。
パスワード専用のセクションには、一般的なポリシーに疑問を投げかける、非常に必要な常識的な慣行が大量に盛り込まれています。例: 新しい規則では、エンド ユーザーがパスワードを定期的に変更するという要件が禁止されています。この要件は、パスワードのセキュリティが十分に理解されておらず、一般的な名前、辞書に載っている単語、その他の簡単に推測できる秘密を選択するのが一般的だった数十年前に制定されました。
それ以来、ほとんどのサービスでは、ランダムに生成された文字やフレーズで構成された、より強力なパスワードの使用が求められています。パスワードが適切に選択されている場合、通常は 1 ~ 3 か月ごとに定期的に変更する必要があるため、実際にはセキュリティが低下する可能性があります。これは、負担が増えることで、ユーザーが設定して覚えやすい弱いパスワードが奨励されるためです。
多くの場合、メリットよりもデメリットの方が大きいもう 1 つの要件は、少なくとも 1 つの数字、1 つの特殊文字、および 1 つの大文字と小文字など、特定の文字の使用を必須にすることです。パスワードが十分に長くランダムである場合、特定の文字の使用を必須にしたり制限したりしてもメリットはありません。また、構成を規定するルールによって、実際にはユーザーがより弱いパスコードを選択することにつながる可能性があります。
最新の NIST ガイドラインでは、次のように規定されています。
- 検証者とCSPは、パスワードに他の構成ルール(異なる文字タイプの混合を要求するなど)を課してはならない。
- 検証者と CSP は、ユーザーにパスワードを定期的に変更することを要求しません。ただし、認証子の侵害の証拠がある場合は、検証者は変更を強制する必要があります。
(「検証者」とは、アカウント所有者の認証資格情報を確認してアカウント所有者の身元を確認する組織を指す官僚用語です。認証情報サービス プロバイダーの略称である「CSP」は、アカウント所有者に認証子を割り当てたり登録したりする信頼できる組織です。)
以前のバージョンのガイドラインでは、一部のルールで「すべきではない」という言葉が使用されていました。これは、その慣行がベストプラクティスとして推奨されないことを意味します。対照的に、「してはならない」は、組織がコンプライアンスを遵守するためにその慣行を禁止する必要があることを意味します。
最新の文書には、次のような他の常識的な実践もいくつか含まれています。
- 検証者とCSP する パスワードの長さは最低8文字にすることを要求し、 すべき パスワードの長さは最低 15 文字にする必要があります。
- 検証者とCSP すべき パスワードの最大長は少なくとも 64 文字にしてください。
- 検証者とCSP すべき パスワード内のすべての印刷可能な ASCII (RFC20) 文字とスペース文字を受け入れます。
- 検証者とCSP すべき パスワードにUnicode(ISO/ISC 10646)文字を受け入れます。各Unicodeコードポイント する パスワードの長さを評価するときに 1 文字としてカウントされます。
- 検証者とCSP してはならない パスワードに他の構成ルール(異なる文字タイプの混在を要求するなど)を課す。
- 検証者とCSP してはならない ユーザーに定期的にパスワードを変更することを要求します。しかし、検証者は する 認証子の侵害の証拠がある場合は、変更を強制します。
- 検証者とCSP してはならない 加入者が認証されていない請求者がアクセスできるヒントを保存することを許可します。
- 検証者とCSP してはならない 加入者に、パスワードを選択する際に知識ベース認証 (KBA) (例: 「最初のペットの名前は何でしたか?」) またはセキュリティの質問を使用するように促します。
- 検証者 する 送信されたパスワード全体を確認します(つまり、切り捨てないでください)。
批評家たちは長年、一般的に施行されている多くのパスワード規則の愚かさと害を指摘してきた。しかし、銀行、オンライン サービス、政府機関は、大部分がそれらの規則に固執している。新しいガイドラインが最終的に制定されたとしても、普遍的な拘束力はないが、ナンセンスな規則を廃止するための説得力のある論点となる可能性がある。
NIST は、10 月 7 日午後 11 時 59 分 (東部標準時) までに、[email protected] にガイドラインに関するコメントを提出するよう呼びかけています。