パスワードの安全な管理方法として「定期的にパスワードを変更する」「他人にパスワードを作成させる際に記号や数字を混在させるように求める」といったノウハウを実践している人は多いはず。しかし、これらの管理方法は実はセキュリティリスクの高いもので、内閣サイバーセキュリティセンター(NISC)やアメリカ国立標準技術研究所(NIST)のガイドラインでは非推奨とされています。
インターネットの安全・安心ハンドブック Ver5.00 第6章
(PDFファイル)https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-06.pdf
NIST Releases Second Public Draft of Digital Identity Guidelines for Final Review | NIST
https://www.nist.gov/news-events/news/2024/08/nist-releases-second-public-draft-digital-identity-guidelines-final-review
◆パスワードの定期的な変更は危険
一昔前の情報教育では「パスワードの定期的な変更」が推奨されることがありましたが、記事作成時点ではむしろ危険な慣行とされています。NISCが公開している「インターネットの安全・安心ハンドブック」によると、パスワードの定期的な変更は「パスワードの単純化やワンパターン化」「複数サービスでの同一パスワードの使い回し」といったリスクを招くとのこと。
◆パスワードは紙に書く管理方法は意外と安全
NISCは、パスワードの安全な管理方法として「物理的な紙のノートに書いて保管」「スマートフォン用のパスワード管理アプリに記録」という方法を推奨しています。
物理的な紙のノートはインターネットに接続することが不可能であり、サイバー攻撃を防ぐことが可能。さらに、紙に記録されたパスワードを盗むには「現実世界での窃盗行為」という物理的な行動を起こす必要があるためリスクを最小限に抑えられます。
パスワード管理アプリはPC向けのものも存在していますが、NISCは「スマートフォンのセキュリティは十分に高く設計されている」という理由でスマートフォン向けアプリの利用を推奨しています。ただし、アプリのデータ管理方法には気を配る必要があり、「パスワードをクラウドに保存するアプリ」よりも「パスワードをスマートフォン内部に保存するアプリ」を優先べきとのこと。
なお、EdgeやChromeなど多くのウェブブラウザには「パスワードを保存して自動入力する機能」が搭載されていますが、NISCは「離席時に他人にパスワードを利用される」「パソコンをクラッキングされた際に根こそぎ盗まれる」という危険性からブラウザのパスワード保存機能を使わないように呼びかけています。
◆記号や数字の混在を義務付けるのはNG
ウェブサービスなどのパスワード作成画面では「記号や数字を1文字以上使ってください」といった条件が設定されていることが多くあります。しかし、NISTが公開した「デジタルIDガイドライン改訂第4版(SP 800-63-4)」では、記号や数字を混在させる条件付けがリスクになり得ることが示されています。
NISTによると、大文字や記号や数字を混在させる条件付けが課された場合、ユーザーは「password」を「Password」「Password1」「Password1!」といった予測可能なものに変更する可能性が高いとのこと。このため、攻撃者にとっては予測できるパスワードを辞書攻撃用のデータベースに登録しておくだけで安全対策を突破できてしまいます。
また、ユーザーが安全性を考慮して「非常に複雑なパスワード」を考えた場合でも「複雑なパスワードを覚えられないため、電子的に安全でない場所に保管する」という行動を引き起こしてしまうとのこと。
◆パスワードは長い方がいい
NISTはウェブサービスなどの管理者に対して「パスワードの文字数の最低値は、少なくとも8文字以上に設定しなければならない」と提言。さらに、「パスワードの文字数の最低値は、可能ならば15文字以上に設定するべき」とも述べています。加えて、NISTのガイドラインには「パスワードの文字数の最大値は、可能ならば64文字以上にするべきである」とも記載されています。
◆「パスワードのヒント」は実装してはならない
ウェブサイトの中には、ユーザーがパスワードを忘れてしまったときのためにパスワード入力欄に「パスワードのヒント」を表示するものもあります。しかし、NISTはセキュリティ上の懸念から「パスワードのヒント」を実装しないように求めています。
◆「秘密の質問」は実装してはならない
パスワード変更時の本人確認のために「秘密の質問」の設定を求めるウェブサイトもありますが、NISTは「秘密の質問」の実装も取りやめるように提言しています。
◆インターネットの安全・安心ハンドブック
NISCが公開しているインターネットの安全・安心ハンドブックには、パスワードの管理方法以外にもサイバーセキュリティの基礎知識やSNSの安全な使い方などの情報が記されています。ハンドブックは以下のリンク先で無料公開されています。
インターネットの安全・安心ハンドブック - NISC
https://security-portal.nisc.go.jp/guidance/handbook.html
また、NISTが2024年8月に公開した「デジタルIDガイドライン改訂第4版(SP 800-63-4)」は、以下のリンク先で読めます。
NIST Special Publication 800-63B
https://pages.nist.gov/800-63-4/sp800-63b.html
PCMAX
経済トピックス
経済ランキング
- 1
「疲れたときにチョコレート」は危険すぎる…甘い物がほしいときに口にすべき"身近な食べ物の種類"画像あり
- 2
「パスワードを紙に書く管理方法は意外と安全」「パスワードの定期的な変更は危険」「記号や数字の混在を義務付けるのはNG」など知っておくべきパスワード知識画像あり
- 3
増田郵政社長「深くおわび」=ゆうちょ銀顧客情報流用で
- 4
豊田章男会長の「信任率急落」の衝撃…トヨタ業績絶好調でも株主の3割がノーを突きつけた本当の理由画像あり
- 5
ブックオフが都内店舗を続々「閉店」…!突然の10月閉店ラッシュにファン落胆、業績好調だったハズがなぜ?画像あり
- 6
「エッフェル姉さん」松川るい氏、集合写真から杉田水脈氏らを“消去”し衝撃走る…2年前は“選挙応援に奔走”の関係に何が?画像あり
- 7
これはウザいかも…職場の全員が「緊急連絡網アプリ」導入 → 毎日「弁当の注文」に使われて注文確認のメッセージ画像あり
- 8
マッキンゼー最年少役員流・情報整理術「日経新聞は読む価値なし! その道のプロ3人に話を聞け」画像あり
- 9
父さん、ごめん。実は…月収13万円の25歳フリーター息子、ポツリと「国民年金の滞納」を告白→57歳サラリーマンの父親が“思わずほくそ笑んでしまった”ワケ【FPが解説】画像あり
- 10
〈VTuberブーム大失速〉新人育たず、転生問題も深刻化… 業界の2大巨頭ANYCOLORとカバーは人気YouTuberが大量離脱したUUUMと同じ道を辿ることになるのか画像あり