更新されたNISTサイバーセキュリティフレームワークからの6つのパスワードの要点

米国国立標準技術研究所（NIST）のガイドラインが更新され、より効果的な保護のために時代遅れの慣行が否定されました。

35,000語に及ぶガイドラインを読む時間がない？大丈夫。NISTの新しいガイダンスから、効果的なパスワードポリシーを策定するために組織が知っておくべき6つのポイントを紹介しよう。

Table of contents

1.パスワードの長さ＞パスワードの複雑さ
2.より長いパスワードを容易にする
3.MFAの導入
4.頻繁なパスワード変更を避ける
5.既に漏洩したパスワードの使用を防ぐ
6.パスワードヒントやその他の知識ベースのリカバリを中止する

1.パスワードの長さ＞パスワードの複雑さ

長年にわたり、組織は、大文字と小文字、数字、記号を含むことをユーザーに義務付けるなど、厳格な公式に従って、クラックされにくいパスワードを作成するパスワード・ポリシーを作成してきた。

しかし、NISTの調査は、このアプローチの欠陥を浮き彫りにしている。人間は予測可能であり、「複雑な」パスワードを開発する際には、しばしば予測可能な（推測しやすい）パターンに従う。

例えば、ユーザーはよく次のようなことをする：

パスワードを大文字で始める（例：welcome456はWelcome456になる）
パスワードの最後に数字や記号を使う（例：Welcome456、Welcome2024!）
共通の文字を入れ替える（例：WelcomeToXYZCorpはW3lcomeToXYZCorpになる）

これは何を意味するのか？複雑そうに見えるパスワード（パスワード・ポリシーの要件に準拠しているパスワード）は、予測可能なパターンに従っているため、ハッカーにとっては比較的簡単にクラックできます。

ユーザーがより強力なパスワードを作成できるよう、NISTはパスワードの複雑さの代わりにパスワードの長さを強制することを推奨している。文字、数字、記号のランダムで覚えにくい組み合わせをユーザーに求めるのではなく、思い出しやすいがハッカーには推測されにくい、より長いパスワードやパスフレーズを作成するよう促すのだ。

最適なパスフレーズは、関連性のない単語を組み合わせて1つの長いパスフレーズにしたものです。例えば、”lama-shoehorn-trumpet7 “のようなパスフレーズは、”HPn&897*k “のようなランダムなパスワードよりもユーザーが覚えやすく、予測可能なパターンに従ったパスワードよりもハッキングされにくい。

2.より長いパスワードを容易にする

上記のガイダンスに基づき、NISTの最新の改訂版は、セキュリティ研究者が長い間疑ってきたことを裏付けている。Specopsの調査結果はこの結論を補強しているが、多くの企業はパスワードの文字数制限を課すことでセキュリティを損なっている。

パスワードが提供するセキュリティ保護を最大化するには、パスワードポリシーが長いパスフレーズに対応できなければなりません。

NISTは、64文字までのサポートを推奨しています。これは、ほとんどのユーザーが必要とする文字数をはるかに超えていますが、最大限のセキュリティを優先する企業にとっては非常に重要です。

64文字のパスフレーズであっても、パスワードの再利用やマルウェアによる盗用によって危険にさらされる可能性があります。

とはいえ、長いパスワードは短いパスワードよりも防御力が高い。15文字でも50文字でも、セキュリティのニーズに合ったパスフレーズを使用できる柔軟性をユーザーに与えましょう。

3.MFAの導入

マイクロソフトの調査によると、侵入されたアカウントの99％にMFAが欠けていた。しかし、多くの組織はまだMFAを必要なものではなく、贅沢品として扱っている。

NISTは、このトピックに関するガイダンスで言葉を濁していない：MFAはもはやオプションではなく、パスワードが必然的に使えなくなったときのための必須の防御策なのだ。

NISTのガイドラインに沿うためには、一要素認証にしがみつかないことだ。MFAを導入することで、定期的に悪用されるセキュリティ・ギャップを埋めることができる。

4.頻繁なパスワード変更を避ける

エンドユーザはパスワードの変更を強制されることを好まないため、NISTが組織に対し、侵害の証拠がない限りパスワードの強制期限切れを見送るよう促していることを聞けば喜ぶだろう。

NISTは、パスワードの頻繁な変更は、ユーザが「新しい」パスワードの要件を満たすために最小限のパスワードの微調整に頼るため、セキュリティを強化するどころか弱体化させることが多いと主張している。

しかし、パスワードの有効期限ポリシーを完全に無視することは、逆の方向に振れすぎる可能性があります。

Specopsでは、本質的な安全策を維持しつつ、必要な変更までの期間を延長するという、ニュアンスの異なるアプローチを推奨しています。ユーザーが強固なパスワードを作成し、組織が漏洩検知ツールを導入すれば、有効期限を長くすることは容認できるだけでなく、望ましいことになります。

5.既に漏洩したパスワードの使用を防ぐ

NISTの最新のガイダンスは単純明快である。組織は、漏洩した既知の認証情報のデータベースと照らし合わせて、新しいパスワードをスクリーニングすべきである。

なぜか？攻撃者は、漏洩した認証情報の膨大なリストを活用して攻撃を加速させる。

ユーザーは、自分の好みのパスワードが過去の侵害でいつ暴露されたかを知ることはほとんどありません。ユーザは、強固なパスワードに見えるものを信頼して再利用するかもしれないが、それがすでに犯罪者のデータベースに出回っていることを知らない。

このような漏洩したパスワードをプロアクティブにブロックすることで、組織はハッカーに悪用される前に、お気に入りの攻撃ベクトルをシャットダウンすることができます。

あなたの組織の露出度を評価したいですか？無料のSpecops Password Auditorは、Active Directoryパスワードの脆弱性を即座に可視化します。

6.パスワードヒントやその他の知識ベースのリカバリを中止する

初めて飼ったペットの名前は？高校のマスコットは？母親の旧姓は？

このようなパスワードのヒントやセキュリティ質問は、時代遅れの感がある。そして、NISTの最新のガイダンスは、私たちのオンライン生活がこれらの伝統的なリカバリ方法を時代遅れにしたため、組織にこれらの伝統的なリカバリ方法を見送るよう促している。

あなたの個人情報がソーシャルメディア上でどれだけ自由に流れているかを考えてみてほしい。かつては個人情報だと思われていたものが、今では平然と置かれ、収集され、悪用されるのを待っている。

NISTは、ヒントの代わりに、安全な電子メールのリカバリーリンクや、パスワードのリセット時にMFA認証を行うことを提案している。

これらのアプローチにより、ユーザーは簡単に発見される個人的な豆知識ではなく、デバイスやアカウントへの物理的なアクセスを通じて本人であることを確認することができる。

NISTガイドラインへの準拠をお考えですか？

Specops Password Policyを無料でお試しいただき、ITチームがこれらの6つの簡単なステップをすべて遵守できるようにしてください。

Specops Softwareがスポンサーとなり、執筆しました。