秋元通信

【最新版】米国立標準技術研究所(NIST)によるパスワード認証指針を確認

  • 2025.11.20

こんな記事がありました。
 

 
 この記事では、米国立標準技術研究所(NIST)がパスワード認証の指針を更新したことが報じられています。ちなみにNISTの指針は、権威ある指針であるとして世界的に信用されています。例えば、2017年にNISTが「定期的なパスワード変更は不要」という指針を発表すると、翌年には総務省Webサイトから定期変更を促すメッセージが削除されました。
 
 今や、私たちの日常はパスワードだらけです。
 今回は、NISTの指針を学び、より賢く、より安全なパスワード設定方法をお届けしましょう。
 
 

なぜ、パスワードの定期的な変更は非推奨になったのか?

 
 理由は、「定期的な変更作業が面倒になったユーザーが手を抜いたパスワードを使うことで、むしろセキュリティリスクが高まるから」です。
 
 例えば、「毎年パスワードを変更してください」というメッセージが繰り返し表示されたとします。ユーザーの中には、もともと使っていたパスワード(※本稿では仮に「aiueo」とします)に対し、わずかな変更のサフィックスをつけて、「aiueo2024」「aiueo2025」といった予測・推測が容易なパスワード変更で済ませようとする人が増えてしまうそうです。
 
 ちなみに、NISTの指針には、このように手間を省きたがる人間心理を考慮した指針が多く見受けられます。
 
 また最新の指針では、強制的な定期的変更は明確に「非推奨」(禁止)とされています。
 
 さらにNISTは、パスワード変更を行うのはパスワード漏洩の疑いがあるケースなど、セキュリティ侵害の可能性があるケースに限るべきとしています。
 
 

大切なのは、「複雑であること」よりも「長いこと」

 
 今回の指針では、従来の「大文字・小文字・数字・記号を必ず混ぜる」といった複雑なパスワード設定を要求することは非推奨となりました。
 
 例えば、日常的に「aiueo」というパスワードを使いまわしている人に対し、このような複雑性の高いパスワードを要求すると、「Aiueo!」(「A」を大文字に、末尾に「!」を追加)のような推測されやすいパターンで要求をクリアしようとするため、かえって脆弱になることが多いんだとか。
 
 代わりに推奨されるのは、パスワードの長さです。指針では15文字以上のパスワード設定を強く推奨しています。
 実際、複雑な短文パスワードよりも(例えば英字小文字だけであっても)長文のパスワードのほうが、ハッカーが解析するうえでははるかに時間がかかるそうです。
 
 以下はこのエピソードを示す有名なマンガです。
 
https://xkcd.com/936/(※英語です)
 
 このマンガでは、以下が説明されています。
 

  • 「Tr0ub4dor&3」のような従来推奨されてきた「複雑な」パスワードは、人間は覚えにくいが、パソコンを使えば約3日で解析可能

    •  

  • 「correct horse battery staple」のように、人間は覚えやすいパスフレーズ(※後述)を解析しようとすると、約550年掛かる

 
 NISTでは、このように一見ランダムに見える単語を並べるパスフレーズを推奨しています。ポイントは、よりセキュリティを追求するのであれば、まったく関係のない単語の組み合わせを選ぶべきこと。ただし、「それでは忘れてしまうよ」という方は、「自分に関連するものの、他人は推測できないような組み合わせの単語」を並べるのもアリです。
 例えば、「sushi cycle miles spyder」という単語の羅列は一見関連性がないように見えますが、「好きなものは寿司と自転車とマイルス・デイヴィスで、嫌いなものは蜘蛛」と、当人ならば比較的覚えやすい組み合わせになります。
 
 パスフレーズには、他にも注意点があります。
 

  • 関連性のない単語を選ぶこと
    自分自身に関連している「家族の名前、誕生日、住所など」の公開情報や、有名な歌の歌詞、ことわざなどは避けるべきです。
    なお、ここで言う公開情報とは、SNSなどを調べると入手可能な情報も含みます。

    •  

  • スペース(空白)の使用を推奨
    システムが許可するならば、単語の間にスペース(空白)を含めることで、さらに安全性を高めることができます。

 
 また必ずしも英単語ではなくとも、日本語のローマ字表記を使うのもアリです。
 
 
 今回の指針では、他にも「母親の旧姓」や「好きな動物」をあらかじめ登録しておくことでパスワードリセットなどに利用できる「秘密の質問」の廃止(※SNS等で第三者が調べることが可能なケースがある)や、多要素認証(※ショートメッセージなどを使ったワンタイムパスワードの利用)やパスワードマネージャーの利用推奨が記されていることも付記しておきましょう。
 
 
 繰り返しになりますが、今や私たちの日常はパスワードで溢れかえっています。だからこそ、パスワード管理に大きな手間はかけられないですし、かと言って手を抜いたパスワード(代表的なのは、「qwerty」)やパスワードの使い回しは、大きなリスクを伴います。
 
 そこで、Google、Apple、Microsoftなどは、新たな認証手段としてパスキー認証を導入し、またNISTの指針でもパスキー認証を推奨しています。
 
 次回は、このパスキー認証について解説しましょう。

このエントリーをはてなブックマークに追加

関連記事

記事一覧→
■数値や単位を入力してください。
■変換結果
■数値や単位を入力してください。
■変換結果
  シェア・クロスバナー_300