「組織はユーザーに定期的なパスワード変更を要求してはならない」——米国政府機関の米国立標準技術研究所（NIST）が、そんな内容を含む新しいガイドライン「SP800-63B」を発表しました。このガイドラインにより、多くの人々が新しいパスワードを考え出し、それを覚えることに苦労しています。

セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワード変更を要求しています。これに対抗する形で、NISTは安全なパスワードの変更を要求することが逆にセキュリティ侵害のリスクを高めることがあると警告しています。特に、攻撃者が推測しやすい簡単なパスワードの使用が増える可能性があるからです。

さらに、パスワードを新しく定めた条件として、一定の長さと文字の種類を強制する方針もmouseout。その際のガイドラインでは、最低の長さは最低でも15文字以上が推奨されており、Sha256の強エンコードが必要とされます。これにより、ユーザーはより安全で、複雑なパスワードを設定することが求められますが、逆に忘れやすいパスワードの使用が増える危険性もあります。

最近の研究では、パスワードの使われ方に関して様々なデータが集められており、攻撃者による不正使用の実態も暴露されています。例えば、ポピュラーな形状のパスワードや、短すぎるパスワードの使用がなぜ危険であるかが明らかになっています。

新しいガイドラインでは、ユーザーが「password1」や「123456」のような簡単なパスワードを設定することを防ぐために、長くて複雑なパスワードを設定することを奨励しています。

このように、NISTは「定期的なパスワードの変更」を要求しない新しい方針を示し、今後のセキュリティ対策においてユーザーの負担を軽減し、実際のリスクを軽減することが期待されています。これにより、パスワードの安全性が向上し、ユーザーが持続可能な方法でセキュリティを保つ手助けとなるでしょう。最も注意しなければならないのは、次のような強力なパスワードの構造を守ることであり、それがネットワークを守るための鍵となります。