現在、私たちが利用するさまざまな Web サイトやサービスにアクセスするには、1 つまたは複数のパスワードが必要です。これらのパスワードは文字、数字、記号の組み合わせで構成されており、可能な限り安全である必要があります。パスワードの「有効期限が切れた」と思われるため、パスワードを定期的に更新し、これらの要件を満たす新しいパスワードを作成する必要があることさえ常態化しています。
しかし、これはやや時代遅れです。これは米国標準技術研究所 (NIST) によって決定されています。可能な限り最も安全なアカウントを取得する方法に関する推奨事項を発表することを目的とした米国の組織。
パスワードの更新は過去に非難された行為です
リリースされた最新の推奨事項を確認するには、次のように記載されているデジタル ID ガイドラインの初公開草案にアクセスする必要があります。
- 「検証者と CSP は、パスワードに追加の構成ルールを課すべきではありません。」
- 「検証者と CSP は、ユーザーにパスワードの定期的な変更を要求しません。ただし、認証者の侵害の証拠がある場合、検証者は変更を強制する必要があります。」
この文章で彼らが言いたいのは、今日では私たちが登録されているサービスがたくさんあるということです。そして、私たちが所有している識別システムはパスワードだけではありません。現在、私たちは 2 要素認証システムまたはパスキーを導入しており、これによって私たちの顔や指紋がデジタル サービスにアクセスするためのパスワードになります。
こうすることで、短期間パスワードの更新を求められた場合に、覚えやすい弱いパスワードを入力する必要があります。しかしその一方で、変更する必要がないとわかっているパスワードを使用すると、パスワードをより強力かつ長くすることになります。
本当に重要なことは、たとえ大文字と小文字しか含まれていないとしても、十分な長さのパスワードを設定することです。ブルートフォースでパスワードを解読するのにどれくらいの時間がかかるかを示したHive Systems のレポートを見ると、大文字と小文字を含む 12 文字または 13 文字のパスワードを使用すると、解読するにはそれぞれ 2,000 年と 75,000 年かかります。
現時点では、企業はデジタル サービスにこれらの NIST 勧告を適用する必要はありません。ただし、これは時代遅れの慣行を排除してパスワードを永久に作成し、従来のパスワードの代替としてパスキーの使用に焦点を当てる前例となります。
画像 | トウフィーク・バーブイヤ・クリス