NISTが改定したパスワード新基準|複雑性より長さ、定期変更より侵害時対応へ
新ガイドラインでは、特殊文字や数字、大文字を含む「複雑性」要件を廃止し、パスワードの長さを最重要視する方針に転換した。単一認証の場合は最低15文字、多要素認証では最低8文字を推奨し、最大64文字まで設定可能とする。 定期的なパスワードリセットも廃止され、セキュリティ侵害が発生した場合のみリセットを行う。パスワード回復における「ヒント」や「母親の旧姓」などのセキュリティ質問も廃止し、電子メールやテキストによる回復リンクや認証コードの使用を推奨する。また、過去の侵害データや辞書の単語を含むパスワード「ブロックリスト」の導入も求めている。 また、NISTはパスキー(Passkeys)に代表される「パスワードレス認証」の利用についても推奨しています。これは、パスワードという概念そのものから脱却し、より安全で利便性の高い認証方式へ移行する大きな潮流を示唆しています。今回のガイドライン改定は、その過渡期における現実的かつ効果的なアプローチと位置づけられるでしょう。