今後のパスワードは複雑さよりも長さが必要
投稿者:セキュリティエンジニア 山﨑敦史
こんにちは。セキュリティ担当の山﨑です。
皆さん、「今後のパスワードは複雑さにプラスして長さも必要」で複雑さに加えて、長さが求められていることを紹介いたしました。
米国立標準技術研究所(NIST)が公開しているパスワードポリシーのガイドライン(SP 800-63B-4)が2025/8/26に更新され、前回と内容が大きく変更されており、今までのパスワードの常識が覆る内容となっています。
今回は、「SP 800-63B-4」をもとに、今後のパスワードに求められるものは何なのか見ていきたいと思います。
目次
1.NISTが発表した新しいパスワード要件
NISTが「SP 800-63B-4」で発表した新しいパスワード要件と従来のパスワード要件の比較が以下の表となります。
表1:従来のパスワード要件とNIST SP 800-63B-4との比較
NIST SP 800-63B-4を基にNI+Cが作成
| 要件 | 従来のパスワード要件 | NIST SP 800-63B-4 |
|---|---|---|
| 長さ | 8文字以上 | パスワード認証のみ:15文字以上 多要素認証:8文字以上 |
| 複雑さ | 大文字、小文字、数字、記号が必須 | 強制禁止(ユーザの任意) |
| 変更頻度 | 30~90日 | 原則禁止:侵害(漏洩)した場合のみ |
| 回復方法 | 秘密の質問やヒント | 回復コード/URL リンクなどの利用 |
| 利用可能な文字列 | 制限なし | 漏洩した文字列や推測しやすい文字列等の使用禁止 |
| 利用可能な文字 | 空白、絵文字は利用不可 | 空白、絵文字も利用可能とすべき |
大きな特徴として従来で利用許可されていた項目が禁止となっていたり、利用可能な文字にも変更が入っています。
次からは、それぞれの項目ごとに変更点を見ていきたいと思います。
2.長さの重要性
パスワードの長さはパスワードの強度を評価する最も重要な要素として NIST では位置づけており、単一要素認証として使用されるパスワードは最低15文字、多要素認証(MFA:Multi-Factor Authentication)と併用する場合は最低8文字の長さが必須であるとしています。
また、長いパスワードを利用する場合、手動入力ではタイプミス等のエラーを起こしやすいため、パスワード入力時のコピー&ペーストの使用を許容することおよび利用者が長いパスワードを作成することを奨励するため、最大パスワード長を少なくとも64文字まで許可することを推奨しています。
3.複雑さの廃止
大文字、小文字、数字、記号の異なる文字タイプを組み合わせることを強制するような構成ルールの廃止が求められています。
強制することでむしろパスワードが推測しやすい文字列になってしまうことから、ルールとして課すべきではないとしています。
ユーザーは自分が管理できる範囲で、長さを重視した複雑かつ推測しにくいパスワードを選ぶべきということです。
ただし、ユーザーが任意で記号や数字を使うことを制限してはおらず、システム側で「強制してはならない」としています。
NIST SP 800-63B-4による悪いパスワードと良いパスワードの例
「P@ssw0rd」:大文字、小文字、数字、記号を含んでいるが第3者に推測されやすい
「Co22BeZH0LjGUgLn」:記号は使っていないが、ユーザー自身にしかわからない語呂合わせ
4.変更頻度の禁止
従来のパスワードは、一定期間過ぎるとパスワードの変更が求められていましたが、パスワードの定期変更を原則禁止としています。
複雑さと同様に強制することで「P@ssw0rd202511」から「P@ssw0rd202512」のように設定したパスワードを1文字だけ変更するなど、既存のパスワードから予測可能なパターンで変更するようになることから禁止となっています。
5.回復方法の変更
パスワードを忘れてしまった場合、「ヒント」や「秘密の質問(母親の旧姓は?等)」を表示させるのは、攻撃者にヒントを与えてしまったり、SNSやインターネット上の公的記録を検索すれば、多くの人の「出身校」「ペットの名前」「誕生日」「家族構成」などは簡単に見つかり攻撃者に容易に入手されてしまうため、パスワードの回復は、ヒントや、秘密の質問ではなく、電子メール、テキスト、音声等を通じて送信される回復コードやリンクを通じて行われるべきとしています。
6.利用可能な文字の増加と特定文字列の禁止
従来は、「 」(空白)や「☺️」(絵文字)はパスワードに使用できない文字でしたが、全ての印刷可能なASCII文字(いわゆるnullなどの制御コード以外)に加えて空白文字(スペース)、Unicode文字(絵文字などの2バイト以上の文字)を許容すべきとしています。
これは、ユーザーのパスワードの可読性向上やブルートフォース攻撃対策(解読にかかる時間の増加)が期待されます。
Unicode文字が利用できるようになれば、「🐔庭には、2羽、ニワトリがいる🐔」のようにアルファベットなどのASCII文字以外をパスワードにできるので非英語圏のユーザーにとっては、パスワードを覚えやすくなります。
また、漏洩した実績のあるパスワードや推測しやすいパスワード、辞書に登録されている単語、ユーザーID等はブロックリストを用いて、それらのパスワード登録を拒否するという仕組みの実装を推奨しています。
おわりに
今回のNIST SP 800-63B-4への改訂における最大のポイントは、「人間にとっての扱いやすさ(ユーザビリティ)が、結果としてセキュリティ強度を高める」という現実的なアプローチへのシフトです。
これまでの「複雑な文字種の強制」や「定期的な変更」は、結果としてユーザーに推測しやすいパスワードのパターン化や、付箋へのメモ書き等を誘発させてしまい、かえって攻撃者に隙を与える要因となっていました。
これまでの「ルールで縛るセキュリティ」から脱却し、ユーザーが「覚えやすく、破られにくい」パスワードを無理なく運用できる環境を作ること。それが、これからの時代に求められる真のセキュリティ対策と言えるでしょう。
パスワード管理やID管理についてお悩みの方は、弊社問い合わせ窓口までお問い合わせください。
こちらもおすすめ
小さなインシデントから、大きな被害に広がるかもしれません。
被害を防ぐために、昨今のランサムウェア被害の実態と攻撃手法を解説しています
