「パスワードを紙に書く管理方法は意外と安全」「パスワードの定期的な変更は危険」「記号や数字の混在を義務付けるのはNG」など知っておくべきパスワード知識

パスワードの安全な管理方法として「定期的にパスワードを変更する」「他人にパスワードを作成させる際に記号や数字を混在させるように求める」といったノウハウを実践している人は多いはず。しかし、これらの管理方法は実はセキュリティリスクの高いもので、内閣サイバーセキュリティセンター(NISC)やアメリカ国立標準技術研究所(NIST)のガイドラインでは非推奨とされています。
インターネットの安全・安心ハンドブック Ver5.00 第6章
(PDFファイル)https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-06.pdf
NIST Releases Second Public Draft of Digital Identity Guidelines for Final Review | NIST
https://www.nist.gov/news-events/news/2024/08/nist-releases-second-public-draft-digital-identity-guidelines-final-review
◆パスワードの定期的な変更は危険
一昔前の情報教育では「パスワードの定期的な変更」が推奨されることがありましたが、記事作成時点ではむしろ危険な慣行とされています。NISCが公開している「インターネットの安全・安心ハンドブック」によると、パスワードの定期的な変更は「パスワードの単純化やワンパターン化」「複数サービスでの同一パスワードの使い回し」といったリスクを招くとのこと。
◆パスワードは紙に書く管理方法は意外と安全
NISCは、パスワードの安全な管理方法として「物理的な紙のノートに書いて保管」「スマートフォン用のパスワード管理アプリに記録」という方法を推奨しています。
物理的な紙のノートはインターネットに接続することが不可能であり、サイバー攻撃を防ぐことが可能。さらに、紙に記録されたパスワードを盗むには「現実世界での窃盗行為」という物理的な行動を起こす必要があるためリスクを最小限に抑えられます。
パスワード管理アプリはPC向けのものも存在していますが、NISCは「スマートフォンのセキュリティは十分に高く設計されている」という理由でスマートフォン向けアプリの利用を推奨しています。ただし、アプリのデータ管理方法には気を配る必要があり、「パスワードをクラウドに保存するアプリ」よりも「パスワードをスマートフォン内部に保存するアプリ」を優先すべきとのこと。

なお、EdgeやChromeなど多くのウェブブラウザには「パスワードを保存して自動入力する機能」が搭載されていますが、NISCは「離席時に他人にパスワードを利用される」「パソコンをクラッキングされた際に根こそぎ盗まれる」という危険性からブラウザのパスワード保存機能を使わないように呼びかけています。

◆記号や数字の混在を義務付けるのはNG
ウェブサービスなどのパスワード作成画面では「記号や数字を1文字以上使ってください」といった条件が設定されていることが多くあります。しかし、NISTが公開した「デジタルIDガイドライン改訂第4版(SP 800-63-4)」では、記号や数字を混在させる条件付けがリスクになり得ることが示されています。
NISTによると、大文字や記号や数字を混在させる条件付けが課された場合、ユーザーは「password」を「Password」「Password1」「Password1!」といった予測可能なものに変更する可能性が高いとのこと。このため、攻撃者にとっては予測できるパスワードを辞書攻撃用のデータベースに登録しておくだけで安全対策を突破できてしまいます。
また、ユーザーが安全性を考慮して「非常に複雑なパスワード」を考えた場合でも「複雑なパスワードを覚えられないため、電子的に安全でない場所に保管する」という行動を引き起こしてしまうとのこと。
◆パスワードは長い方がいい
NISTはウェブサービスなどの管理者に対して「パスワードの文字数の最低値は、少なくとも8文字以上に設定しなければならない」と提言。さらに、「パスワードの文字数の最低値は、可能ならば15文字以上に設定するべき」とも述べています。加えて、NISTのガイドラインには「パスワードの文字数の最大値は、可能ならば64文字以上にするべきである」とも記載されています。
◆「パスワードのヒント」は実装してはならない
ウェブサイトの中には、ユーザーがパスワードを忘れてしまったときのためにパスワード入力欄に「パスワードのヒント」を表示するものもあります。しかし、NISTはセキュリティ上の懸念から「パスワードのヒント」を実装しないように求めています。
◆「秘密の質問」は実装してはならない
パスワード変更時の本人確認のために「秘密の質問」の設定を求めるウェブサイトもありますが、NISTは「秘密の質問」の実装も取りやめるように提言しています。
◆インターネットの安全・安心ハンドブック
NISCが公開しているインターネットの安全・安心ハンドブックには、パスワードの管理方法以外にもサイバーセキュリティの基礎知識やSNSの安全な使い方などの情報が記されています。ハンドブックは以下のリンク先で無料公開されています。
インターネットの安全・安心ハンドブック - NISC
https://security-portal.nisc.go.jp/guidance/handbook.html

また、NISTが2024年8月に公開した「デジタルIDガイドライン改訂第4版(SP 800-63-4)」は、以下のリンク先で読めます。
NIST Special Publication 800-63B
https://pages.nist.gov/800-63-4/sp800-63b.html