最近パスワード関連のブログを書いてません。パスワード以外の認証が随分増えてきて便利になったことや、近年パスワード概念が真逆の方向に変わってきたこともあります。長いパスワードで思い出すのは、2017年に書いた【般若心経】＋【パスワード】の組合せは色々最強かもしれない、です。って事は時代の先取りをしていたのか！と。でも、この投稿ほとんど閲覧数が伸びてない。先取りし過ぎたか、外したのか…まぁどっちでもいいのですが、多少の参考にはなるはずです。

パスワードはとにかく長ければ良い 「新常識」をNISTガイドラインで確認する

このパスワードに関してガイドラインは、事業者側がパスワード作成に関して定めるべき要件を指定している。

1:文字数の長さの要件。多要素認証ではなく、単一要素での認証の場合、パスワードの長さは最低15文字以上

2:多要素認証の場合、パスワードの長さは最低8文字

3:パスワードの最大の長さは、最低でも64文字を許容しなければならない

この3つはパスワードの文字数を指定したもの。パスワードだけでログインを認める場合は、最低15文字から64文字以上を許容すべきとなっている。これは「最長64文字まで」ではなく「少なくとも64文字」なので、「15～32文字」は許容されない。「15～100文字」はもちろん問題ない。長文になりがちなパスフレーズを許容するためとされている。

詳しくは元記事を参照してください。

まず1～3については、これ般若心経パスワードでいいんじゃない？

こんな長さのパス覚えられない。それ以前に、そもそも般若心経覚えてないってものもあるかもですね。これ以上先を読まなくていいです。

4:文字種の混在を強制してはならない。パスワード作成において、大文字・小文字・数字・記号の混在を強制することは禁止

5:すべての印刷可能なASCII、スペース、絵文字を含むUnicodeをパスワードとして受け入れるべき

なにか4については含めた方がいいと思いますが、強制することを禁止なのですね。でも強制した方がいいと思う。しかし長いパスワードならば記号なんか含まなくても充分に強度はある。やっぱり！般若心経パスワードだな。

6:定期的な変更の強制は禁止

7:パスワードのヒントの禁止

8:「秘密の質問」の禁止

NISTのガイドラインでは「こう言っている」のであり、実際にはそうなってない。最近登録したサイトやアプリでも4～8は当たり前でした。っては、これを回避するにはもう、般若心経パスワード！

9： パスワードマネージャーの利用を許可すべき

10：パスワード入力欄への貼り付けを許可すべき

11：ブロックリストを照合しなければならない

9は覚えていれば、パスワードマネージャー系のツールを使わなくても大丈夫ですね。もしかして、般若心経パスワードなんて使わなくても、パスワードマネージャーを使えば、パス覚える必要ないですね。

10も貼り付けOKならパス覚える必要ない。

これは今までの流れ上マズい。般若心経パスワードの必要ないのかもしれないと。

11は照合してもこんなフレーズまずヒットしないとおもいますよ。だって般若心経パスワード最強ですからｗ

じゃあどうすればいい

1．積極的にパスワードマネージャー系のツールを使っていくことが一番いいですね。何も覚えなくていい。簡単！

2．無人島に行っても、電気のないツールが使えないとこであっても、記憶が飛ばない限り「いつでもどこでも簡単に」使える般若心経パスワードなら大丈夫。ローテク安心！

いずれも、フィッシングなり漏洩などでパスワードごと漏れれば、どんなに複雑でも丸漏れなので意味はありません。100％対応出来る安全な方法がないので、出来る限りの最強策を準備擦るしかありません。

ツールの積極活用と般若心経パスワードの両面で、最強パスワードに挑戦してみて下さい。

作り方と考え方のネタが満載の今までのパスワード関連の投稿も参照下さい。

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか？

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。

詳細はこちらへ