強力なパスワード(Dr.Web アンチウイルス設定へのアクセスを制御するパスワードを含む)を使用する必要性と、パスワードを定期的に変更する必要性をどれほど説明しても、ユーザーにとっては不便さが先立ってしまうため、推奨事項は無視されがちです。

新しい標準「NIST SP 800-63デジタルアイデンティティガイドライン (英語)」は、さまざまなサービスのユーザーと管理者が、利便性とセキュリティのバランスをとることの支援を目的として作成されました。

面白いことに、標準で課せられたセキュリティレベルでは保護レベルの実質的な向上にはならないと断言されています。パスワードの例では、ユーザーがサンプルに近いパスワードを選択するように促しています。たとえば、サンプルが「Password」の場合、ユーザーは「Password1」または「1Password」を選択する可能性があります。同じように、あなたの身近な人や、ものに関する多くの情報がインターネット上にあるため、コードフレーズ(たとえば「最初のペットの名前は何ですか?」など)を使用したり、想定されやすいパスワードを使用したりするのはハッカーによるクラックを許すことになり危険です。

では、どうするのがいいのでしょうか?

• 少なくとも8文字(最大64文字)のパスワードを使用してください。
• 第2に、「パスワードに大文字と小文字が含まれていなければなりません」というようなパスワードの構成方法をユーザーに伝えることは推奨されません。標準のコンパイラは、ユーザーが忘れがちのパスワードを電子形式で保存しており、その結果、サイバー犯罪者はパスワードを入手することができるようになってしまっています。この標準への革新は、パスフレーズです。一連の言語、または他のテキストを使用します。長いテキストはパスワードの推測を難しくし、ユーザーだけが知っているパスフレーズに含まれている情報は、パスワードのハックをさらに複雑にします。
• 管理者は、ユーザーが妥協を望まず、または妥協した証拠がない場合、ユーザーにパスワードの変更を要求するべきではありません。
• パスワードには、スペースを含む印刷可能な文字(ASCII [RFC 20])が含まれ、同様に、絵文字を含むUnicode [ISO / ISC 10646]が含まれている必要があります。この要件の2番目の部分は、基本的にパスワードの解読をより困難にします。