パスワードはどうあるべきか？#1

リュディアです。米国のNISTをご存じですか？NIST / National Institute of Standards and Technology はアメリカ国立標準技術研究所です。その NIST が公開しているドキュメントの1つにNIST Special Publication 800-63B / Digital Identity Guidelines があります。最新の版は Thu, 29 Aug 2019 の Revision 3 です。NIST の原版と日本語訳をしてくださっている版へのリンクを以下につけておきます。

NIST Special Publication 800-63B

NIST Special Publication 800-63B

この中にパスワードでセキュリティを保持するためのガイドラインがあり、そこに私たちが正しいと思い込んでいることが推奨されていないということに気づきましたので忘備録としてまとめておきます。

5.1.1.2 Memorized Secret Verifiersにパスワードを作成する際に、最低でも8文字以上、よく利用されるパスワードや容易に推測可能なパスワードを使わない、辞書に含まれれる言葉を使わない、といった規則はよしとします。問題は同じ 5.1.1.2 にある以下の2つです。

（原文より抜粋）Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

（翻訳版より抜粋）Verifierは他の構成ルール(例えば，異なる文字種の組み合わせ，一定の文字の繰り返し)を記憶シークレットに課すべきではない(SHOULD NOT)．Verifierは，記憶シークレットを任意で(例えば，定期的に)変更するよう要求すべきではない(SHOULD NOT)．しかしながらAuthenticatorが危殆化した証拠がある場合は，変更を強制するものとする(SHALL)．

（原文より抜粋）Verifiers SHOULD permit claimants to use “paste” functionality when entering a memorized secret. This facilitates the use of password managers, which are widely used and in many cases increase the likelihood that users will choose stronger memorized secrets.

（翻訳版より抜粋）VerifierはClaimantによる記憶シークレットを入力時に”ペースト”機能を利用することを許可すべきである(SHOULD)．これはパスワードマネージャの利用を促進し，広く利用されるようになることで多くの場合ユーザがより強力な記憶シークレットを選択する可能性を増加させる．

硬い文章の翻訳なのでとっさに理解しづらいかもしれないですが、この2つのガイドラインを読んでどのように思われますか？続きは次回にしましょう。

では、ごきげんよう。