パスワードの常識が変わりそうです
イノベーション開発部の大島です。
もう12月ですね。今年は夏が長く10月ごろまで暑かったこともあったため、まだまだ日にちが残っているつもりでしたが、まさに「もう」12月といった感じですね。季節感が狂っている中で体調が不安定になりがちですが、残りの1か月間気合をいれて頑張っていきましょう!ちなみに、私は季節の変わり目に風邪を引いてしまいました…。 さて、今回の写真は会社近くのお散歩コースの写真にさせて頂きました。右に見えるのは重信川と呼ばれる川で、あまり水量はありませんがこれでも一級河川なんですよ。
では、今回は日々ご利用されているパスワードについてお話させていただきます。一部界隈にて話題にもなりましたので、もしかするとニュース等で耳にされたことがあるかもしれません。皆様パスワードってどのくらいの頻度で変更されていますか?あまり変えていないという方も多いのではないかと思います。こまめに変える方はは30日くらいで変える方もいるかもしれませんが、長い方では半年や1年変えていないという方もいらっしゃるのではないでしょうか。また、パスワードに利用する文字について、さすがに「abcde」のようなものや「password」のようなわかりやすいものは昔から危険視されていましたが、例えば「p@ssw0Rd」のように一部を記号にしたり大文字に変換したり、アルファベットの「o」を数字の「0」に変えたりしているケースもあるのではないかと思います。実はその常識が少し変わりつつあります。
もう少し具体的なお話をしますと、NIST(National Institute of Standards and Technology= アメリカ国立標準技術研究所)と呼ばれるアメリカにあるITやサイバーセキュリティに関する国際的な基準を作る政府機関が存在します。アメリカの機関ですので日本とは直接のかかわりはありませんが、IT関係の大本山ですので日本のみならず多くの国での参考にされる情報を多く出しています。この機関が本年8月にだした「SP 800-63B」 と呼ばれるガイドラインが関係者の間で大きな話題となっています。簡単に言うと今までの「頻繁にパスワードを変え、識別しにくいようなパスワードを利用する」といったルールが「パスワードを変える必要はなく、わかりやすさを重視し、その上で長いパスワードを利用する」といった形に変更されました。
ではなぜこのように方針変更したのでしょうか。当然色々な理由があるのでしょうが、・頻繁に変えることで逆に覚えにくくなりパターン化してしまうこと・複雑なパスワードにすることで逆に紙に書いて残してしまうこと・複雑なようで一定の規則性(例:「o」を「0」にする)であるので推測が容易になってしまうことなどが理由にあげられています。また、個人的には近年のAI技術やGPUの性能向上から推測や総当たりが容易になったことが原因の一つでないかと考えています。では、新しいルールとはどういったものでしょうか?以下のようなルールが推奨されています。
・8文字以上を必須とし、可能なら15文字以上を推奨する
・大文字小文字、記号、数字を混ぜる必要はない
・定期的な変更は不要。ただし、漏洩時は切替を行うこと
・(システム側)よく使われるパスワードは利用できないようにする(「abcde」などは登録できない)
・(システム側)秘密の質問などオプション情報の登録は行わない
・(システム側)パスワード入力の補助機能やコピペでの利用の推奨
どうですか?今までとは全く違う方向だと思いませんか?繰り返しになりますが、今までのランダムっぽい文字列よりも、とにかく覚えやすく文字数が長いものの方が望まれているということを意味しています。つまり、このルールに従うとこんな感じのパスワードになります。「watashiharingogasuki(私はりんごが好き)=20文字」
お話としては以上となりますが、とは言え今回の変更を見てすぐさま現在のパスワードを変える必要はないかと思います。個人的にはこのようなパスワードルールの変更もそうですが、今後はパスキーと呼ばれる生体認証と組み合わせたログインや、メールでの認証コードが必要といった多段階認証がより有効な手段となっていくとは思っています。ただ、上記のようにAI技術の発展により今までの常識が変わることは今後も多く想定されます。とりあえず今回の話を一つの契機として皆様のパスワードを一度見直してみてはいかがでしょうか?
