「英数・記号の混在」はもう古い? これからのパスワードの常識
- tw-sales
- 3 日前
- 読了時間: 3分
パスワード作成のルールといえば何でしょう?
「英字・数字・記号を混ぜる」「定期的に変更する」を思い浮かべる方も、多いのではないでしょうか。
しかし、こうした「常識」も、セキュリティの進化と共に変わりつつあるようです...
今回話題になったのが、米国の国立標準技術研究所(NIST)が2025年10月に発表した、パスワードに関する新しいガイドライン。
この発表によると、これまでパスワードの「常識」とされていた「英字・数字・記号を混ぜる」「定期的に変更する」といったルールが、明確に見直されたのです。
1.「複雑なパスワード=安全」か?
今回の見直しにあたり、根底にあるのは『「複雑なパスワード=安全」という考え方が誤りである』という指摘です。
これまで推奨されてきた、英数字や記号を混ぜる形でパスワードを作ろうとすると、かえって利用者にとって覚えやすいパターン(例:「Password1!」「Tokyo2024!」など)を作りがちになり、かえって攻撃者に推測されやすいことが問題となっていました。
また、90日ごとなどの定期的なパスワード変更も推奨されてきましたが、結局は似たパスワードを繰り返し使う原因となり、安全性の向上にはつながらないと指摘されていました。
項目 | これまでの推奨ルール | 新たな推奨ルール |
英字・数字・記号の混在 | 強制されていた | 強制禁止(ユーザーの自由) |
パスワード変更 | 定期的に必須 | 侵害が確認された場合のみ変更 |
最低文字数 | 8文字 | 15文字以上(多要素認証ありなら8文字) |
最大文字数 | 任意 | 少なくとも64文字を許容する必要あり |
(※「多要素認証」とは、パスワードに加えてスマートフォンやメールなど別の要素で本人確認を行う方法を指します)
2.今後のパスワード作成の考え方
これからは、パスワード作るに難しい記号や複雑な組み合わせを無理に使う必要はありません。
その代わり、「長くて覚えやすい言葉の並び(パスフレーズ)」を使うことが推奨されています。
そのポイントは、意味のある単語をつなげて、文章のようにすること。
この方法なら推測されにくく、かつ自分でも覚えやすい安全なパスワードを作ることができます。
例:
悪い例:「T@keda2024!」
推奨例:「takeda_neko_ga_hoshii」
推奨例:「coffee_time_every_morning」
セキュリティの世界では、「これをやっていれば絶対に安全」「これが当たり前」と言われてきた常識が、時代とともにどんどん変化しています。
今回のパスワードに関する方針変更も、その代表的な例といえるでしょう。
こうした変化に合わせて、社内のパスワードルールも見直していくことが大切です。
これからは、“長くて覚えやすく、しっかりしたパスワード”を使うこと、そして“過去に漏えいしたパスワードを再利用しないこと”が、より安全な運用につながります。
<参照情報>