考えたこと2

最近のパスワードはやたらうるさい。
大文字小文字を使えとか、数字希望を入れろとか、8文字以上でないといけないとか、容易に推定されるものはダメとか…。

これらの要求はNIST（アメリカの国立標準技術研究所）というところが出しているガイドラインに基づいて決まっているらしい。
それが今回改訂された。

記事によると、

「従来、NISTはパスワードの複雑性を重視し、大文字と小文字、数字、記号を組み合わせた構成ルールを推奨していた。しかし「混在ルールを課してはならない」と明確に定義し、特定の文字タイプを強制する慣行を禁止した。」

とのことだ。

たしかに、混在ルールはうっとうしい。
アルファベットの大文字、小文字、数字、記号を混ぜなさい等と言われると、覚えられないからかえって簡単なものにしてしまう人もいるだろうし、すでにあるものを使い回すことになることも多い。
無理強いをすると、かえって良くないということに気づいたのだ。

定期的な変更もやめることになったらしい。
侵害されたと思われたときは変えること、というルールだ。

パスワードのみの認証の場合は、文字数は15文字ということだ。
今は多要素認証が増えているから、これは仕方ない。

また、設定時にPassword1などというものは拒否ということになる。
どこまでそれが厳格に運用されるかだが⋯。
秘密の質問もなくすらしい。

その代わりに、パスワードに頼らない認証が増えるのだろう。
最近はパスキーを指定しろというところも増えた。
パソコンに指紋認証や顔認証がついていないと、どうするのだろう。
デスクトップのPCなど、困るではないか。

ともあれ、パスワードの設定は楽になるだろう。
無理強いが減るからだ。

これでパスワードのページが早く変わってほしい。