NIST 800-63B パスワードルール: モダンなパスワードポリシーのガイド

従来のパスワードポリシーでは、定期的なパスワード変更や複雑性ルール（大文字・小文字・数字・特殊文字の組み合わせ）が推奨されていました。しかし、これらの要件はユーザーに負担を強いるだけでなく、実際にはパスワードの安全性向上にあまり寄与しないことが研究で示されています。

NIST 800-63B では、長く覚えやすいフレーズ（passphrase）の使用を推奨しています。フレーズは短い複雑なパスワードに比べてエントロピーが高く、ブルートフォース攻撃や辞書攻撃に対する耐性が強化されます。例えば、「青い空と緑の森2026!」のようなフレーズは長さと複雑性のバランスが良く、ユーザーにとっても記憶しやすいです。

また、ユーザー中心のポリシーを採用しており、ユーザーが覚えやすいパスワードを選べるようにすることが重視されています。これにより、パスワードのメモや使い回しを減らし、セキュリティを向上させます。

さらに、マルチファクター認証（MFA）の必須化により、パスワードのみへの依存を減らしています。高リスクなシステムでは、MFA によりセキュリティが大幅に強化され、仮にパスワードが漏洩しても不正アクセスのリスクが低減されます。

パスワードの安全性をさらに高めるために、NIST 800-63B では、ユーザーが使用したパスワードが既知の漏洩パスワードリストに含まれていないかを確認することも推奨しています。これにより、過去に漏洩したパスワードや推測されやすいパスワードの使用を防ぐことができます。

要約すると、NIST 800-63B は次の点を強調しています：フレーズの使用、ユーザーに優しいポリシー、MFA の導入、既知の危険パスワードの回避です。従来の複雑性ルールや定期的変更の強制は廃止され、より現実的で効果的なパスワード管理のアプローチが採用されています。