ポリシー

NIST 800-63Bパスワードルール：2026年実践サマリー

NIST SP 800-63Bパスワードガイドラインの平易な要約。何が変わったか、なぜ複雑性ルールが廃止されたか、準拠ポリシーの実装方法を解説。

押さえておきたい

最新のNIST基準に合わせる

読了 1 分更新日: 2026/04/15著者: GeneratePasswordTo Editorial Team

NIST SP 800-63Bとは？

NIST SP 800-63Bは米国国立標準技術研究所が発行するデジタルアイデンティティガイドラインの一部です。米国連邦機関には義務ですが、グローバル標準となっています。

最新の改訂はセキュリティコミュニティのパスワードに対する考え方を根本的に変え、数十年の従来の知恵を否定しました。

開発者、IT管理者、個人ユーザーのいずれにとっても、これらのガイドラインの理解は不可欠です。

主要な変更点：NISTが正しかったこと

強制的な複雑性ルールの廃止。NISTは大文字、数字、特殊文字の要求を明示的に推奨しません。強制複雑性は予測可能なパターンにつながります。

定期的なパスワード変更の停止。NISTは侵害の証拠がある場合のみ変更を推奨します。

侵害リストとの照合。HIBP APIはk-匿名性を使用して9億以上の漏洩パスワードを検証。

長いパスワードの許可。システムは少なくとも64文字まで受け入れるべきです。

最小長要件

NISTはユーザー選択パスワードの絶対最小を8文字、ランダムPINを6文字に設定。12文字が推奨実践的最小値、15+が理想。

高価値資産には16+文字または5+語のパスフレーズを推奨。

システムは64文字未満の最大値を設定すべきではありません。

8文字：NIST絶対最小値
12文字：推奨実践的最小値
15+文字：重要アカウント推奨
64文字：システム必須の最低上限
6桁：ランダムPIN最小値

禁止パスワードリストと辞書チェック

NISTは新しいパスワードを一般的、予想される、または侵害されたパスワードのリストと照合することを要求します。

拒否時にはシステムは明確な説明を提供すべきです。

HIBP APIはk-匿名性を使用：SHA-1ハッシュの最初の5文字のみを送信します。

パスワード保存：ハッシュ要件

NISTはメモリ集約型の鍵導出関数を要求。推奨：Argon2id、bcrypt（最小ファクター10）、PBKDF2-HMAC-SHA256（最小600,000回）。

Argon2idは新規実装の推奨選択です。

単純な暗号ハッシュ関数（MD5、SHA-1、SHA-256）をパスワード保存に使用しないでください。

各パスワードに一意のランダムソルトを使用（最小128ビット）。

多要素認証

NISTは機密データを扱うすべてのシステムにMFAを強く推奨。3つの要素：知識、所持、生体。

NISTは認証器を3レベルに分類（AAL1-3）。AAL2はほとんどのビジネスアプリに適切。

SMSコードは「制限付き」認証器。TOTPアプリまたはFIDO2キーが推奨。

MFA実装でNISTは一部要件の緩和を許可しますが、弱いパスワードはリスクのまま。

実装チェックリスト

複雑性要件を削除。最小長12、最大少なくとも64。HIBP検証を実装。

ストレージをArgon2id、bcrypt、またはPBKDF2に更新。次回ログイン時に透過的に再ハッシュ。

定期変更を廃止。侵害検出とログイン試行制限を実装。

MFAを有効化、FIDO2/WebAuthnまたはTOTPを優先。

複雑性要件を削除
最小長12、最大64+
侵害リストと照合（HIBP）
Argon2id / bcrypt / PBKDF2を使用
定期ローテーションを廃止
ログイン試行を制限
MFA導入（FIDO2 > TOTP > SMS）
拒否時に明確なメッセージ

次のステップ

パスワードジェネレーター

全ガイドコレクションを見る

機能	NordPass	1Password	Bitwarden Free
月額	$1.49/mo	$2.99/mo	$0
デバイス	無制限	無制限	無制限
Passkeys	はい	はい	いいえ
漏洩スキャン	はい	はい	いいえ
2FA内蔵	はい	はい	はい
安全な共有	はい	はい	制限あり
自動入力	はい	はい	はい

ポリシー

NIST 800-63Bパスワードルール：2026年実践サマリー

NIST SP 800-63Bパスワードガイドラインの平易な要約。何が変わったか、なぜ複雑性ルールが廃止されたか、準拠ポリシーの実装方法を解説。

押さえておきたい

最新のNIST基準に合わせる

読了 1 分更新日: 2026/04/15著者: GeneratePasswordTo Editorial Team

NIST SP 800-63Bとは？

最新の改訂はセキュリティコミュニティのパスワードに対する考え方を根本的に変え、数十年の従来の知恵を否定しました。

開発者、IT管理者、個人ユーザーのいずれにとっても、これらのガイドラインの理解は不可欠です。

主要な変更点：NISTが正しかったこと

強制的な複雑性ルールの廃止。NISTは大文字、数字、特殊文字の要求を明示的に推奨しません。強制複雑性は予測可能なパターンにつながります。

定期的なパスワード変更の停止。NISTは侵害の証拠がある場合のみ変更を推奨します。

侵害リストとの照合。HIBP APIはk-匿名性を使用して9億以上の漏洩パスワードを検証。

長いパスワードの許可。システムは少なくとも64文字まで受け入れるべきです。

最小長要件

NISTはユーザー選択パスワードの絶対最小を8文字、ランダムPINを6文字に設定。12文字が推奨実践的最小値、15+が理想。

高価値資産には16+文字または5+語のパスフレーズを推奨。

システムは64文字未満の最大値を設定すべきではありません。

8文字：NIST絶対最小値
12文字：推奨実践的最小値
15+文字：重要アカウント推奨
64文字：システム必須の最低上限
6桁：ランダムPIN最小値

禁止パスワードリストと辞書チェック

NISTは新しいパスワードを一般的、予想される、または侵害されたパスワードのリストと照合することを要求します。

拒否時にはシステムは明確な説明を提供すべきです。

HIBP APIはk-匿名性を使用：SHA-1ハッシュの最初の5文字のみを送信します。

パスワード保存：ハッシュ要件

NISTはメモリ集約型の鍵導出関数を要求。推奨：Argon2id、bcrypt（最小ファクター10）、PBKDF2-HMAC-SHA256（最小600,000回）。

Argon2idは新規実装の推奨選択です。

単純な暗号ハッシュ関数（MD5、SHA-1、SHA-256）をパスワード保存に使用しないでください。

各パスワードに一意のランダムソルトを使用（最小128ビット）。

多要素認証

NISTは機密データを扱うすべてのシステムにMFAを強く推奨。3つの要素：知識、所持、生体。

NISTは認証器を3レベルに分類（AAL1-3）。AAL2はほとんどのビジネスアプリに適切。

SMSコードは「制限付き」認証器。TOTPアプリまたはFIDO2キーが推奨。

MFA実装でNISTは一部要件の緩和を許可しますが、弱いパスワードはリスクのまま。

実装チェックリスト

複雑性要件を削除。最小長12、最大少なくとも64。HIBP検証を実装。

ストレージをArgon2id、bcrypt、またはPBKDF2に更新。次回ログイン時に透過的に再ハッシュ。

定期変更を廃止。侵害検出とログイン試行制限を実装。

MFAを有効化、FIDO2/WebAuthnまたはTOTPを優先。

複雑性要件を削除
最小長12、最大64+
侵害リストと照合（HIBP）
Argon2id / bcrypt / PBKDF2を使用
定期ローテーションを廃止
ログイン試行を制限
MFA導入（FIDO2 > TOTP > SMS）
拒否時に明確なメッセージ

次のステップ

パスワードジェネレーター

全ガイドコレクションを見る

NIST 800-63Bパスワードルール：2026年実践サマリー

NIST SP 800-63Bとは？

主要な変更点：NISTが正しかったこと

最小長要件

禁止パスワードリストと辞書チェック

パスワード保存：ハッシュ要件

多要素認証

実装チェックリスト

強いパスワードの次にすべきことは？

NIST 800-63Bパスワードルール：2026年実践サマリー

NIST SP 800-63Bとは？

主要な変更点：NISTが正しかったこと

最小長要件

禁止パスワードリストと辞書チェック

パスワード保存：ハッシュ要件

多要素認証

実装チェックリスト

強いパスワードの次にすべきことは？