パスワードは、特殊文字などの「複雑さ」ではなく「長さ」を求めることを推奨 〜NISTがガイドライン更新

　セキュリティベンダーの米Malwarebytesは、NIST（米国国立標準技術研究所）がパスワード作成に関する最新のガイドラインを更新したことを報じた。これは、企業・組織などパスワードを管理する側（つまり、パスワードに関するルールを作る運用する側）向けの内容で、これまでによく言われてきた「複雑にする」ことを非推奨とするなどしている。

　更新されたガイドラインにおける、主な変更点は以下の通り。

特殊文字（&、%など）や数字、大文字の混在など「複雑さ」を求めない

複雑なパスワードを設定させようとしても、「password」が「Password1!」になるだけだとしている。その代わり、次に挙げるように文字数を増やすことを推奨する意図がある。

パスワードのみで認証する場合、長さを15文字以上に設定させる

多要素認証と併用する場合は8文字程度でもよいとしている。

定期的なパスワード変更は求めない

漏えいなど、セキュリティ侵害が明らかになったタイミングでパスワードを変更するべきとしている。

パスワードを忘れた場合のセキュリティの質問は禁止する

パスワードを忘れたときのためにペットの名前などを問う「秘密の質問」を設定することがあるが、こちらも推測が容易であるため非推奨で、メールやSMS認証などを行うことを推奨している。

「ブロックリスト」を導入する

一般的に設定されやすいかつ脆弱なパスワードを集めた「ブロックリスト」で、ユーザーに簡単なパスワードを設定させないようにする。

• NIST SP 800-63B
  https://pages.nist.gov/800-63-4/sp800-63b.html
• Your passwords don’t need so many fiddly characters, NIST says（Malwarebytes）
  https://www.malwarebytes.com/blog/news/2025/10/your-passwords-dont-need-so-many-fiddly-characters-nist-says