多くの方が、ネットバンキングやクラウドサービスなどでパスワードを利用していると思います。
このパスワードについて、米国国立機関NISTが指針を改訂しました。
これまで一般的だったパスワードのルールが見直されています。
主なポイントは次のとおりです。
- 記号や大文字を「必ず入れる」設定は不要
- 定期的なパスワード変更も不要(漏えい時を除く)
- 秘密の質問(ペット名など)は使用しない
- 15文字以上の覚えやすい長いパスワードを推奨
- 「password」や「123456」など、過去に漏えいした文字列は登録できないようにする
なぜ変わったのか
攻撃の手口が進化し、パスワードを盗む被害が増えているためです。
過去に流出したパスワードを自動で試す攻撃や、パソコン・スマートフォンから情報を抜き取るウイルスの存在もあります。
そのため、パスワードだけに頼らない対策が求められています。
今すぐできる3つの対策
- 多要素認証を有効にする:パスワードに加えて、スマートフォンの通知や認証アプリで本人確認を行う。
- パスキー(Passkey)を使う:GoogleやAppleなどが導入している新しいログイン方法で、指紋や顔認証によるサインインも可能です。パスワード入力が不要になります。
- 保存されたパスワードを見直す:新しいルールを踏まえ、文字数や構成を確認・更新する。
これからの方向性
今後は「人が覚えるパスワード」ではなく、「本人と端末で確認する仕組み」が標準になっていきます。
まずは、ネットバンキングなど重要なアカウントで、多要素認証やパスキーの設定、パスワードの見直しを実施しましょう。
なお、パスワードを生成する際は、以下のような信頼できるサイトをご利用ください。
