パスワードポリシーとは
この記事は約 2 分で読めます
パスワードポリシー (Password Policy) とは、組織やサービスにおけるパスワードの 作成・管理に関するルールや基準のことです。最小文字数、文字種の要件、 有効期限、履歴管理などが含まれます。NIST (米国国立標準技術研究所) の 最新ガイドラインでは、定期的な変更の強制よりもパスワードの長さと ランダム性を重視する方向に転換しています。
現代のパスワードポリシー
NIST SP 800-63B では、最低 8 文字以上 (推奨は 15 文字以上) のパスワードを求め、 定期的な変更の強制は推奨しないとしています。複雑さの要件 (大文字・小文字・数字・記号の 組み合わせ) よりも、十分な長さとランダム性が重要視されています。 漏洩したパスワードのブラックリストとの照合も推奨されています。パスワードポリシーの書籍 (Amazon)で最新の基準を学べます。
効果的なパスワード運用
パスつく.com で生成したランダムなパスワードは、現代のパスワードポリシーの 要件を十分に満たします。パスワードマネージャーと組み合わせることで、 長くランダムなパスワードをサービスごとに使い分けることが容易になります。 定期変更よりも、漏洩が確認された際の速やかな変更が重要です。情報セキュリティ管理の入門書 (Amazon)も参考になります。