さようなら、無意味なパスワード規則：NISTがサイバーセキュリティに常識をもたらす

もしあなたが、パスワードのリセットの際に、最後のパスワードに感嘆符がついていないか、"o "を "0 "に入れ替えたかどうかを思い出そうとして、頭を悩ませたことがあるとしたら、それはあなただけではありません。何年もの間、世界中のユーザーが、自分のアカウントから締め出すために作られた謎かけのようなパスワード・ルールと格闘してきた。幸いなことに、米国国立標準技術研究所（NIST）は、必要とされるいくつかの正気に踏み込んでいる。
私たちのパスワード管理方法を一変させるかもしれない動きとして、NISTは、最も煩わしく逆効果なパスワード規則を最終的に廃止する新しいガイドラインを提案した。最大の変更点は？パスワードのリセットの義務化、特殊文字を含めることを強制するような複雑な要件の廃止、そして、正直に言って、セキュリティというより推測ゲームに近いセキュリティ質問との決別が考えられる。

パスワードのルール混乱のレシピ
最新のNISTドラフトであるSP 800-63-4（キャッチーな名前でしょう？）は、サイバーセキュリティを向上させると同時に、私たちのデジタルライフを少し楽にすることを目的としている。何年もの間、多くの組織は、パスワードを数カ月ごとにリセットし、数字や大文字、特殊文字を鍋料理の味付けをするように散りばめなければならないというルールに固執してきた。理由は簡単で、複雑であればあるほどセキュリティが高まるからだ。
ただし...それは違う。
このようなルールは、実際に次のような結果を招くことが調査で明らかになっている。弱い パスワードを覚えるのにうんざりした人々は、「S3cur!S3cur!tyP@ssw0rd "を覚えるのにうんざりした人々は、よりシンプルで予測可能なパターンを使うようになる。そして、数ヶ月ごとにパスワードを変更しなければならなくなったら？チャンスは、古いパスワードの最後に "1 "をつけるだけだ。
NISTによる救済：強制リセットはもういらない
NISTは、パスワードの定期的な変更をユーザーに強制することは不必要であるだけでなく、セキュリティを弱める可能性があると公式に宣言している。このルールは、パスワードのほとんどが「password123」やペットの名前だった時代に導入された。しかし、多くのパスワードがランダムに生成されたり、長いフレーズで構成されたりしている現在では、パスワードを頻繁に変更する必要性はない。
では、NISTは代わりに何を推奨しているのか？漏洩している証拠がない限り、現在のパスワードを使い続けること。ハッカーがドアをノックしている場合は、変更する必要があります。そうでなければ、もう大丈夫です。

スペシャル・キャラクター狂騒曲にさよならを
大文字、数字、特殊文字、ユニコーンの血を含まなければならない」という恐ろしいルールを満たすパスワードを見つけようとしたことを覚えているだろうか？さて、そんな時代は終わりを告げるかもしれない。NISTはまた、異なる文字種を混在させることを強制するルールを廃止することも提案している。パスワードが十分に長く、十分にランダムであれば、余分な文字はセキュリティの面ではあまり意味をなさない。
実際、特定の種類の文字を要求することで、より予測しやすいパスワードを作成する傾向があります。S」の代わりに「$」を巧みに使っても、ハッカーも含めて、もう誰も感心しない。

パスワードに対する常識的なアプローチ
強制リセットや恣意的な文字規則をなくすだけでなく、NISTは他のユーザーフレンドリーな慣行も提案している。例えば、"あなたの母親の旧姓は何ですか？"のようなセキュリティー質問を使うのはかなり時代遅れだと公式に表明している。このような情報のほとんどはオンラインで見つけることができるし、率直に言って、10年前に答えたことを覚えている人はいないだろう。
ここでのアイデアは、パスワードを強固に保ちつつ、ユーザーの生活を悪夢のようなものにしないことだ。パスワードの作成に苦労させられなければ、"Password1 "や "12345 "のような推測しやすいオプションに頼る可能性は低くなる。

では、次に何が起こるのか？
新ガイドラインはまだ確定したものではないが、近い将来、政府機関や連邦政府と協力する組織にとっての標準となる可能性がある。このルールは普遍的な拘束力を持つものではないが、正しい方向への強力な後押しである。そして、NISTが承認したことで、企業はようやく、これまで私たちの頭を悩ませてきたパスワードの慣行を捨てる確かな理由を得ることになるかもしれない。
この新ガイドラインが軌道に乗れば、パスワード管理がそれほど厄介でなくなる未来が待っているかもしれない。付箋に書き留めなくてもパスワードを思い出せるようになるかもしれない。(なるほど）。
いずれにせよ、不必要に複雑なパスワードの時代が終わりを告げることを願いたい。NIST、サイバーセキュリティの混乱に常識をもたらしてくれてありがとう。