いつまで古いまま？2020年代のパスワード管理とは

「パスワードは、大文字と数字と記号を入れて8桁以上としてし、3か月ごとに更新！備忘のために書き留めることは断じて禁止！」

いまだ、このように指令してはいませんか？
もしくは指令されていませんか？
日本企業では、実際にそのような規定に則ってパスワードを運用している方も少なくないと思います。

しかし、このような規定は2022年の現在では古いものになっています。

✅定期的な変更は不要

え？ほんとに？はい。

2018年3月に改訂された「国民のための情報セキュリティサイト」で総務省は「定期的な変更は不要」とはっきりうたっております。これには、次の2つの理由が有ります。

理由その1）パスワードの作り方がパターン化する。
例：「Password1」→「Password2」、「Password202201」→「Password202204」

理由その2）(覚えきれないために)使いまわしを行う。

上記を踏まえ、総務省は、パスワードは一度設定したら(サービス提供者は組織における)漏えいが明らかになるまでは変更せず、また、使いまわしは行わないことを推奨しています。

✅備忘のための書き留めることも可

「国民のための情報セキュリティサイト」では、その管理が厳重に行われることを前提に、備忘のために書き留めることも認めています。

実際問題、オンラインサービスが数多く普及した現在において、サービスごとに個別にパスワードを設定していては、覚えるにも限界が有ります。

同サイトでは「作成したメモを肌身離さず持ち歩く」ことを例に挙げていますが、市販のパスワード管理ツールを使用することもお勧めです。このようなツールには、自動的に複雑なパスワードを生成してくれるツールも有ります。

✅複雑なパスワードならばランダムに生成を

上記「国民のための情報セキュリティサイト」では、複雑なパスワードが依然として推奨されていますが、それに9カ月先駆けてリリースされた米NIST SP800-63Bでは人が記憶する複雑なパスワードについても次の２つの理由によって、懸念が示されています。

理由その1）パターン化をもたらしかねない。
例：「Password1!」は「大文字と数字と記号を含めて8桁以上」の条件を満たしますが、ほぼ全てのパスワード辞書(模擬的な攻撃も含めてパスワードを破るための「よくあるパスワード集」)に含まれています。

理由その2）(覚えきれないために)書き留めることで漏えいの危険が発生する。
同文書では書き留めることが即座に漏えいのリスクにつながると断定してはいませんが、統計的にリスクが増大するので、そもそも「長くて複雑なパスワードを記憶する」ことは推奨できないとしています。

このNIST SP800-63B は、米国政府機関が電子認証にあたっての推奨事項をまとめたもので、その内容の先進性と網羅性より、米国政府以外でも広く参照されています。

そして、同文書では、ランダムに生成されたパスワードはたとえ6桁でもパスワードを破るための攻撃には十分に耐えるとして、複雑なパスワードを使用する場合はランダムに生成することを推奨しています。

✅合理的な範囲で長く

NIST SP800-63Bでは長いパスワードは、比較的安全という位置づけで推奨しています。原文では、合理的な範囲で長くすることを推奨しながら、その処理に際してスペースの取り扱いについても言及しているので、単語単位で記す「パスワード」ではなく、文章として記す「パスフレーズ」のようなものを想定していると思われます。

Windows 10以降では127文字までのパスワード設定が可能(Microsoftアカウントを使っている場合は16文字まで)ですので、「当人には容易に思い出せるが、他人には想像することすら困難」な文言をパスワードとするのも良いかと思います。

まとめると、2020年代に有効とされているパスワード管理とは、次のようなものと言えます。

☞定期的な変更は不要。
☞備忘のために書き留めても良いが管理は厳重に
　専用ツールを使うのもお勧め！
☞複雑なパスワードはツールなどでランダムに生成するべき。
　6桁でも効果的！
☞記憶するパスワードは合理的な範囲で長く。