パスワードポリシー - パスワードポリシー
パスワードの強度・管理・運用に関するルール。NIST SP 800-63B に基づく最新のガイドラインでは、定期変更よりも長く推測困難なパスワードが推奨される。
概念図
NIST SP 800-63B に基づくパスワードガイドライン
NIST の最新ガイドラインでは、従来のパスワードポリシーの多くが見直されています。
| 項目 | 従来の常識 | NIST 推奨 |
|---|---|---|
| 文字数 | 8 文字以上 | 最低 8 文字、推奨 15 文字以上 |
| 定期変更 | 90 日ごとに変更 | 侵害の証拠がない限り不要 |
| 複雑さ | 大文字・小文字・数字・記号を混在 | 強制しない。長いパスフレーズを推奨 |
| 漏洩チェック | なし | Have I Been Pwned 等で照合しブロック |
| 多要素認証 | オプション | TOTP や FIDO2 との併用を推奨 |
パスワード使いまわしのリスク
同じパスワードを複数のサービスで使いまわすと、1 つのサービスが侵害されただけで全アカウントが危険にさらされます。
- クレデンシャルスタッフィング攻撃: 漏洩したメールアドレスとパスワードの組み合わせを、他のサービスに自動で大量試行する攻撃。使いまわしをしていると高確率で突破される
- 被害の連鎖: SNS アカウントが乗っ取られると、そこからパスワードリセットメールを操作され、銀行・EC サイトなど他のアカウントも連鎖的に奪われる
- 漏洩に気づけない: 自分が使っているサービスの侵害は公表されないことも多く、知らないうちにパスワードが闇市場で売買されている可能性がある
サービスごとに異なるパスワードを設定することが鉄則です。
人間の記憶には限界があるため、パスワードマネージャーの利用が現実的な解決策になります。
ブラウザ内蔵パスワード管理の限界
Chrome や Edge などのブラウザには無料のパスワード保存機能がありますが、セキュリティの観点ではいくつかの懸念点があります。
- 端末ログインだけで閲覧可能: PC にログインできる人なら、保存済みパスワードを一覧表示できてしまう。共有 PC やマルウェア感染時にリスクが高い
- ブラウザに依存: 保存したパスワードはそのブラウザでしか使えず、アプリやブラウザ外の場面で不便。複数ブラウザの併用で管理が分散する
- 高度なセキュリティ機能の不足: ワンタイムパスワード(TOTP)の管理、安全なメモの保存、パスワードの共有機能などが限定的、または非対応
- エクスポートの平文リスク: パスワードを CSV でエクスポートすると平文ファイルが生成され、そのファイルが漏洩すると全パスワードが流出する
専用のパスワードマネージャーは、マスターパスワード + 暗号化で保護されるため、これらの課題を解決できます。
パスワードマネージャーの選び方
安全なパスワード管理には、専用のパスワードマネージャーの導入が最も効果的です。
選定のポイントは以下の通りです。
- エンドツーエンド暗号化: マスターパスワードでのみ復号でき、サービス提供者でさえ中身を見られない設計(ゼロナレッジ)
- クロスプラットフォーム対応: PC・スマートフォン・タブレットなど全デバイスで同期できること
- TOTP 統合: 二要素認証のワンタイムパスワードも一元管理できる
- セキュリティ監査: Watchtower などの機能で、漏洩したパスワードや脆弱なパスワードを自動検出
- 家族・チーム共有: 安全にパスワードを共有できる仕組みがあること