NIST SP 800-63B-4 Authentication & Authenticator Management
3.1. Requirements by Authenticator Type
パスワードには以下の要件が要求されている
1. 最低必要な長さ: SHALL最低8文字。SHOULD最低15文字
2. 最長の長さ: SHOULD最長64文字
3. 受け入れるべき文字: SHOULDすべての印刷可能なASCII文字(RFC 20)とスペース文字
4. Unicode文字の扱い: SHOULDUnicode文字(ISO/IEC 10646)は受け入れる方が良い
SHALL受け入れるならパスワードの長さを評価する際、各Unicodeコードポイントは1文字としてカウントしなければならない
5. パスワードの構成ルール: SHALL NOT異なる文字種の混合必須などのルールを課してはいけない
6. パスワード定期変更: SHALL NOTパスワード定期変更を要求してはいけない
SHALL侵害の証拠がある場合は変更を強制しなければならない
7. ヒントの保存?: SHALL NOTヒントを保存することを許可してはいけない
これどういうことだろう?Windowsとかにあるパスワードのヒントみたいなこと?
8. 秘密の質問: SHALL NOTパスワード設定時、「あなたの最初のペットの名前は?」のような知識ベースの認証や質問を使うように促してはいけない
9. パスワード切り捨ての禁止: SHALL送信されたパスワード全体を検証しなければならない(途中で切り捨ててはいけない)
Appedix. Strength of Passwords