この記事でわかること
- ✓NISTガイドラインは「定期変更・複雑さ強制」より「長さと一意性」を重視する
- ✓8文字の複雑なパスワードより15文字以上のランダム文字列の方が強い
- ✓パスワードマネージャーで全サービスに異なるランダムパスワードを設定するのが最善
「誕生日を入れたらエラーになった」「記号を入れろと言われて困った」——近年のインターネットサービスにおけるパスワード設定は、ますます複雑化しています。本記事では、世界標準のセキュリティガイドラインに基づいた「本当に安全なパスワード」の正体を解説します。
1. 世界標準 NIST SP 800-63B の新常識
米国国立標準技術研究所(NIST)が公開した最新のガイドライン「NIST SP 800-63B」により、私たちが長年信じてきたパスワードの常識は大きく覆されました。
古い常識 (廃止傾向)
- 「定期的な変更」を強制する
- 記号や数字を無理やり混ぜさせる
- 秘密の質問(ペットの名前など)
新常識 (推奨)
- 定期変更よりも「一意の長さ」
- パスワードマネージャーの活用推奨
- 漏洩が確認された際にのみ変更する
2. なぜ「複雑さ」より「長さ」なのか
意外かもしれませんが、例えば「8文字で大文字・記号混じりのパスワード」よりも、「15文字以上の、意味不明だが覚えやすいフレーズ(パスフレーズ)」の方が、現代のコンピュータによる総当たり攻撃(ブルートフォース攻撃)に対して圧倒的に強いことが証明されています。
複雑な記号を混ぜるよう強制されると、ユーザーは「P@ssw0rd!1」のように規則性のある、推測されやすい単純な文字列に逃げがちだからです。
3. パスフレーズという考え方
NISTが推奨する「パスフレーズ」とは、意味のある単語をランダムに複数組み合わせた長いパスワードのことです。覚えやすいのに、解読は極めて困難になります。
# パスフレーズの例(16文字以上)
correct-horse-battery-staple
→ 辞書攻撃にも強く、覚えやすく、記号なしでも安全
一方、パスワードマネージャーを使えばランダムな文字列(xK9!mPqL#2vRtW8nのような)を全サービスで異なるものを自動管理できるため、パスフレーズより強力です。
4. 理想のパスワード管理方法
パスワードマネージャーを使う(最重要)
全サービスで16文字以上のランダムな異なるパスワードを設定し、アプリに管理させます。主要サービス:1Password・Bitwarden(無料)・iCloudキーチェーン・Google パスワードマネージャー。
多要素認証(MFA)を必ず有効にする
パスワードが漏洩しても、スマホへのワンタイムパスワード(TOTP)や生体認証(指紋・顔)の2段階ロックで被害を防げます。特に金融・メール・SNSアカウントは必須です。
自分のアドレスが漏洩していないか確認する
「Have I Been Pwned?」にメールアドレスを入力すると、過去の大規模データ漏洩に自分の情報が含まれているか即座に確認できます。該当した場合はそのサービスのパスワードを即変更してください。