国立標準技術研究所(NIST)は、新しい研究に応じてパスワー 米国政府は、これらのガイドラインに従うことをその機関に要求し、他の多くの組織は、同様にこれらのルールを実装することから利益を得るであろう。
これらの慣行は合理的な基準を表しており、機密情報を安全に保ち、違反から保護するのに役立ちます。1
NISTは、米国を促進する連邦機関です。 国の技術と情報セキュリティインフラを進めることにより、技術革新と産業。2これらの更新されたガイドラインに従うことで、パスワードセキュリティの実践を改善し、スタッフの効率を向上させることができます。 次に、新しいガイドラインから推奨されるプラクティスとそれらを遵守する方法について説明します。
パスワードの長さを増やす
長さは強力なパスワードの重要な要素です。 長いパスワードは、統計的にクラックされる可能性が低いです。 このため、NISTでは、ユーザーが生成したパスワードには最小8文字、マシンによって生成されたパスワードには6文字の長さが必要になりました。 より機密性の高いアカウントのセキュリティを強化するために、NISTは、パスワードの最大長を64文字に設定する必要があると述べています。3
特殊文字とスペースを許可する
セキュリティレベルを上げる別の方法は、パスワードに特殊文字を使用できるようにすることです。 NISTでは、絵文字やスペースさえも含む特殊文字を含むパスワードをシステムに許可する必要があります。 新しいガイドラインは、シーケンシャルを禁止しています(ex: 1234)または繰り返し(例:aaaa)文字と辞書の単語。3
ユーザーがテキストを貼り付けることを許可する
ガイドラインは、セキュリティを強化するために自動化されたシステムの使用を奨励しています。 パスワードフィールドでは、ユーザーがデバイスのコピーと貼り付け機能を使用してテキストを貼り付けることができるようになりました。 これにより、ユーザーはパスワードマネージャーを使用する機会が得られ、セキュリティが大幅に向上します。
保存されたパスワードもハッシュ化およびソルト化する必要があります(暗号化と同様のセキュリティ対策)。 これらは、記憶域にあるパスワードを保護するのに役立つセキュリティ対策です。 効果に入れた場合、ハッカーは、彼らがそれを盗むために管理している場合でも、パスワードデータを読み取ることがで3
無法者のパスワードヒント
パスワードヒントは、実際にパスワードのセキュリティを損なう可能性のある追加されたセキュリティ対策の一例です。 ユーザーがパスワードを決定するのを非常に簡単にするヒントを設定するのはあまりにも一般的です。 これは、最初の場所でパスワードを持っていることの目的を破ります。
これを防ぐために、NISTはパスワードヒントの使用を完全に禁止しています。 知識ベースの認証(KBA)の質問は、”あなたはどのような通りに育ったのですか?”また、もはや許可されていません。 これらに対する答えは、インターネット上であまりにも簡単に発見され、簡単に違反につながる可能性があります。3
定期的なパスワード変更要件の削除
最近の研究では、頻繁なパスワード変更を必要とする会社のポリシーは、良好なパスワードセキュリティには逆効果であることが示されています。 NISTは、ユーザビリティを高め、パスワードセキュリティをより使いやすくする必要があり、この要件を削除することをお勧めします。
多くの業界では、何年も頻繁にパスワード変更基準が設けられているため、この新しい基準が一般的に観察されるまでには時間がかかる場合があります。 しかし、以前の標準が不要であることを発見した人にとっては、これは歓迎すべき変化として来るかもしれません。1
複雑さの軽減
NISTは、大文字、記号、数字を含める必要があるなど、パスワードの複雑さの要件を最小限に抑えることを推奨しています。 頻繁なパスワード変更ポリシーと同様に、これらの要件は、使いやすさを低下させ、従業員の効率を妨げるパスワードにな パスワードの複雑さを軽減することは、従業員が管理しやすいより良いセキュリティ慣行への道のもう一つの大きな一歩1
一般的に使用されているパスワードまたは侵害されたパスワードに対する新しいパスワードの画面
一般的に開催されているセキュリティ慣行は、一般的に開催されているパスワードおよび既知の侵害されたパスワードのリストに対してユーザーのパスワードをスクリーニングすることです。 NISTは、提案されたパスワードを以前に保持または公開されたパスワードと照合できるソフトウェアを利用することをお勧めします。 これは、新しい設定で知られているパスワードをしようとするハッキングの練習から保護します。1
- NISTによる米国連邦政府からの新しいパスワードガイドライン
- NIST Special Publication800-63B
- 新しいNISTガイドライン
共有は思いやりです!