「英数・記号の混在」はもう古い　NISTがパスワードポリシーの要件を刷新：セキュリティニュースアラート

　NISTはその理由として、形式的な複雑性が実際の安全性を高めるとは限らず、むしろ利用者に予測可能なパターン（例：「Password1!」など）を選ばせてしまう傾向があることを挙げている。

　定期的なパスワード変更の義務付けも廃止された。「侵害が確認されている場合のみ変更を強制せよ」と明記されており、定期的な更新を強要する運用は推奨されていない。これまで一般的だった「90日ごとの変更」といったルールは、むしろ利用者の負担を増やし、安全性を損ねる要因になっていたと判断されている。

　パスワードの長さに関しても要件が引き上げられた。単1要素認証（パスワードのみで本人確認する場合）ではこれまで最低8文字以上を義務付け、15文字以上を推奨としていたが、最低15文字を義務付けている。また、多要素認証（MFA）の場合においては最低8文字が求められている。最大長については少なくとも64文字を許容するよう指示されている。64文字以上の長いパスフレーズを推奨する方針は旧版から存在していたが、今回はこれが明確に必要と規定されている。

　この他、既知の漏えいパスワードとの照合（ブロックリスト方式）が正式に義務化された。検証機関およびCSPは、パスワード設定時に過去の侵害データや一般的に使われやすい単語、サービス名やユーザー名を含むものなどを自動的に拒否しなければならない。これは利用者が形式上「複雑」なパスワードを設定しても、既に流出済みのものを使っている可能性を防ぐ目的がある。

　旧来のセキュリティ質問（KBA）やパスワードヒントも全面的に排除された。新版では「ユーザーヒントを保存してはならない」「知識ベース認証を使ってはならない」と定義されており、こうした方法がもはや安全でないことが明確にされている。個人情報が容易に入手可能な現代において、生年月日や出身地などを使った質問が攻撃者に突破される危険が高いためだ。

　今回の改訂は、NISTがここ数年示してきた方向性の延長線上にあるが、表現の「義務化」と「禁止化」によって、実運用上の影響は大きいと考えられる。特に従来の複雑性ルールや定期変更の慣行を維持している組織は、今後のセキュリティポリシーの修正が必要となる。

　NISTのガイドラインは米国連邦政府の基準となるが、その内容は国際的に広く参照されている。多くの企業や教育機関、クラウドサービス事業者がNISTの基準を事実上の業界標準として採用しており、今回の改訂も世界的な認証ポリシーの見直しに影響を及ぼす可能性がある。