パスワードは、特殊文字などの「複雑さ」ではなく「長さ」
主な変更点は以下の通り。特殊文字(&、%など)や数字、大文字の混在など「複雑さ」を求めない
複雑なパスワードを設定させようとしても、「password」が「Password1!」になるだけ ... パスワードのみで認証する場合、長さを15文字以上に設定させる
多要素認証と併用する場合は8文字程度でもよいとしている。定期的なパスワード変更は求めない
漏えいなど、セキュリティ侵害が明らかになったタイミングでパスワードを変更 するべきとしている。 パスワードを忘れた場合のセキュリティの質問は禁止する
パスワードを忘れたときのためにペットの名前などを問う「秘密の質問」を設定することがあるが、 こちらも推測が容易であるため非推奨で、 メールやSMS認証などを行うことを推奨している。(注 *1) 「ブロックリスト」を導入する
一般的に設定されやすいかつ脆弱なパスワードを集めた「ブロックリスト」で、 ユーザーに簡単なパスワードを設定させないようにする。
*1 ソース「NIST Special Publication 800-63B」
ソースを大胆にまとめたのか、例えば上述の「
『8. Verifiers and CSPs SHALL NOT prompt subscribers to use knowledge-based authentication (KBA) (e.g., “What was the name of your first pet?”) or security questions when choosing passwords.』の辺りか?
No comments:
Post a Comment