「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新:セキュリティニュースアラート – ITmedia エンタープライズ
要点は以下
- 混在ルールを課してはならない」と明確に定義し、特定の文字タイプを強制する慣行を禁止した
- 定期的なパスワード変更の義務付けも廃止
- 最低15文字を義務付け。多要素認証(MFA)の場合は最低8文字
- 最大長については少なくとも64文字を許容
- 既知の漏えいパスワードとの照合(ブロックリスト方式)義務化
- 過去の侵害データや一般的に使われやすい単語、サービス名やユーザー名を含むものなどを自動的に拒否
- セキュリティ質問(KBA)やパスワードヒントも全面的に排除
日本に適用されるのはまだ先の話になりそうだけど仕様が変わるとまたパスワードを再設定しないといけないわけでかなり面倒・・・😓
(7)は日本だと銀行とかで「母親の旧姓は」「小学校の名前は」「ペットの名前は」なんてパターンのやつでまぁ滑稽な仕組みではある😅
(3、6)あたりが適用されると、人間の記憶能力を超えてパスワード管理ツールを使わざるを得なくなりだが、それならばSSO✕MFAの対応を必須にする方向で良いのではないかしら?と思ったりもする。
しかし物理鍵も含めて認証という概念はどこかしら限界があり、打開策は虹彩認証ぐらいしか思いつかない。
ちなみに虹彩認証を自分は経験したこと無いのだけど、以前に以下の記事を見かけてほんまかいなと思ったのを思い出した。
Z世代を中心に広がる「虹彩認証」利用、普及の裏に潜むなりすましリスクとは【NordVPN調査】 | スマホライフPLUS
虹彩認証が必要な場面に遭遇したことが無いのだけど、そんなに普及しているのだろうか?日本だとNECのサービスぐらいしか知らないが(Bio-IDiom Services | NEC)、入出管理ぐらいしか利用イメージが無い・・・
ちなみにMFAに対してEvil Proxyという手法で突破できるという話もあり、パスキーが最強との話もあるが、パスキーはどこで何が管理されているのかよくわかっておらぬ・・・😅
パスキーはなぜ最強の認証方法と言われる?従来の二段階認証では防げない危険とパスキーの本当の力|InfoSecNavigator/かやぼ