「今までのパスワード規則は実は失敗作だった」。2017年8月、米ウォール・ストリート・ジャーナルのオンライン版に衝撃的な記事が掲載された。告白の主は米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」の作成者の1人。

 SP800-63は米国連邦政府の認証に関するセキュリティ要求事項をまとめたガイドライン文書だ。OpenIDファウンデーション・ジャパンでSP800-63の翻訳を手掛けるメンバーの1人である、NRIセキュアテクノロジーズの勝原達也サイバーセキュリティ技術開発部セキュリティコンサルタントは「認証を包括的に扱ったおそらく唯一のガイドラインで、ECサイトや銀行、会員管理、業務システムの開発などで民間企業もよく参考にする」と話す。

 かつてのSP800-63は「英大文字、小文字、数字、記号をすべて使う」「定期的に変更する」といった規則をWebサイトが利用者に課して、パスワードのハッキングを防止するよう推奨していた。

 こうしたパスワード規則は根底からひっくり返された。NISTは2年間の改訂作業を経て、2017年6月に最新版の「SP800-63-3」を公開した。新しいガイドラインでは、異なる文字種を組み合わせる規則や定期変更の強制は「推奨しない」という内容に変わった。

 変更の背景について、勝原セキュリティコンサルタントは「制限を課すほど、ユーザーの思考が単純になり、破られやすいパスワードを使うようになってしまった。利便性を落としてでもセキュリティを高める施策のはずが、利便性だけでなくセキュリティまで低下させる方向に作用をしていた」と分析する。

規則通りだが弱い「Password!1」

 今回は「英大文字、小文字、数字、記号をすべて使うよう求める」という規則に関する問題を取り上げる。この規則は理屈上は正しい。さまざまな文字種をランダムに利用すれば、攻撃者に破られるおそれの少ないパスワードになる。しかし、現実のユーザーはそうしたパスワードを作成しなかった。作るのも覚えるのも面倒だからだ。

 多くのユーザーは、規則の抜け穴をかいくぐるように単純で覚えやすいパスワードを使うようになった。典型例が「Password!1」だ。英大文字、小文字、記号、数字をすべて使っている。文字数も10文字もある。だが、攻撃者に破られやすい。多くのユーザーが利用し、攻撃者がとりあえず試してみるようなパスワードだ。

[画像のクリックで拡大表示]