パスワードの“ややこしいルール”はもう終わりにしましょう。NIST SP 800-63B Rev.4では、複雑さよりも長さと使ってはいけない候補の排除(ブロックリスト)に軸足が移りました。この記事では、専門用語はすべて短い補足付きで、明日からの運用にどう落とすかを具体的に解説します。
目次
まず結論
- 単要素ログインのパスワードは最小15文字。MFAの一要素なら最小8文字で可。
- 複雑性ルールの強制はNG(英大文字必須など)。代わりにブロックリスト照合は必須。
- 貼り付け(パスワードマネージャ)を許可。最大長は64文字以上を許容。
- 不要な定期変更はしない(侵害兆候があるときだけ)。
- AAL2では“フィッシング耐性”のある認証手段を少なくとも1つ提供(連邦機関は職員に必須)。
改定ポイントをやさしく
1. 最小文字数が明確化
- 15文字:パスワード“だけ”で認証する場合。
- 8文字:MFAの一要素として使う場合。
- 64文字以上受け付けることを推奨(長いパスフレーズ歓迎)。(NIST Pages)
【用語】MFA(二段階認証):パスワードにもう1つ(アプリや物理鍵)を足して守る方法。
2. 複雑性ルールは撤廃、代わりにブロックリスト
- 「大文字1つ以上・記号必須」などの構成ルールの強制は課さない。
- ブロックリスト(漏えい済み・よくある・サービス名/ユーザー名由来)に一致したら拒否。理由を伝えて再入力を促す。
【用語】ブロックリスト:“使ってはいけないパスワード表”。全文一致で照合し、当たれば登録NG。
「巨大すぎるリストは逆効果」——オンライン攻撃はレート制限で抑える前提のため、まず“頻出”だけに絞るのが現実的。(NIST Pages)
3. 貼り付けOK・スペースOK
- パスワードマネージャの貼り付けを許可。
- スペースやUnicodeも受け入れるのが望ましい(サイト都合で制限がある場合は明記)。
4. 変更頻度の考え方
- 定期的な強制変更は不要。侵害の兆候があるときだけ変更を求める。
5. フィッシング耐性とAAL2
- AAL2ではフィッシング耐性のある認証(例:FIDO2/セキュリティキー)を少なくとも1つ提供。連邦機関は職員に必須。
すぐにできる実装チェックリスト(運営者向け)
- 単要素の最小長=15/MFA運用時=8 をサーバ側で検証。
- ブロックリスト照合(漏えい・辞書・サービス名/ユーザー名の派生)。一致時は理由を表示。
- 貼り付け許可+最大64文字以上の入力をUIとAPIで受け入れる。
- 不要な定期変更の停止(侵害検知時のみ変更要求)。
- AAL2の“フィッシング耐性”手段を用意(FIDO2/WebAuthn)。
よくある疑問(読者にやさしく)
- 15文字は長すぎませんか?
4〜5語のパスフレーズ(例:sakura-rain-bridge-29)なら覚えやすく、強度も確保できます。NISTも長さ重視の方針です。
- 記号なしでも大丈夫?
はい。長さ+ブロックリストが軸です。複雑性の強制はしません(使ってもOK)。
- 会社のルールで“90日ごと変更”が残っています
NISTは任意の定期変更を推奨していません。侵害兆候があるときだけ変更します。
- 貼り付けOKにすると危なくない?
むしろ安全。長くてランダムな文字列をマネージャで管理でき、再利用も減ります。
専門用語の短い補足
- ブロックリスト:漏えい・一般的すぎる・サイト名由来など“使ってはいけないパスワード”の表。一致したら拒否。
- フィッシング耐性:偽サイトに入力しても秘密が漏れない認証(例:セキュリティキー)。AAL2で選択肢の提供が必要。
- AAL(認証保証レベル):AAL1<AAL2<AAL3。AAL2から多要素が前提。
参考(一次情報)
- SP 800-63B Rev.4 本文(オンライン):最小長(15/8)・ブロックリスト・貼り付け許可・変更方針の記述を確認できます。(NIST Pages)
- Change Log:「単要素パスワードの最小長を引き上げ」等の改定が明記。(NIST Pages)
- AAL2とフィッシング耐性:AAL2で少なくとも1つのフィッシング耐性オプションを提供、連邦機関は職員に必須。(NIST Pages)
次のステップ
パスワードを作りたい方へ
次の記事では、“15文字以上・ブロックリスト対応・貼り付けOK”のパスワードジェネレータを公開しています。
→パスワードを今すぐ作る
Tamaglo最後までお読みいただきありがとうございました。
コメント
※ コメントは確認後に公開されます。反映まで少し時間がかかる場合があります。