安全なパスワードといえば、「英大文字、英小文字、数字、記号」の組み合わせたものだと認識しているかと思います。
この4種類の文字種を入れて作ったパスワードは、覚えるのに難解極まりないので、ユーザー泣かせ。
でもこの難解なパスワードが安全なのだから仕方ない、と思って我慢している方も多いでしょう。

2003年、アメリカの業界規格を定める国立標準技術研究所(NIST)がインターネットアカウントを守る方法として、パスワードにこれらの文字列を入れ、定期的に変更するように勧めた「電子認証に関するガイドライン」文書を発表し、以降、政府機関や大学、大手企業はこの文書を頼って、パスワード作成ルールとして取り込んできました。
これが今日の難解なパスワードの起源です。

ところがこのパスワード作成ルールは、安全なパスワード作成にはたいして役立ってなかった!ということが判明したのです。

ええっ?

当時同研究所で文書作成に携わっていたパスワード管理に関する権威者であるビル・バー氏によると、「この難解なパスワード作成ルールは完全に失敗作だった」と振り返って告白したのです。

現在では、パスワード作成ルールに関する最悪の部分は削除されているということですが、すでに一人歩きしてしまったルールにより膨大な難解パスワードが生み出されてしまい、この難解パスワードのために、人類が1日にパスワード入力に費やす無駄な時間が大量に発生している状況なのです・・・。

では、どんなパスワードがより安全なのか、というと・・・
バー氏の作ったパスワード作成ルールによるパスワード「Tr0ub4dor&3」は「3日」で破られる可能性があるのに対して、単語を4つ並べたパスワード、例えば「correct horse battery staple」を1つの単語に見立てたパスワードを破るのには「550年」かかると計算されている、とのこと。

つまり大文字も数字も記号もなくても、文字数が多いことのほうが、はるかに大切。
簡単な単語をつなげただけだとしても・・・。

前出のNISTは新しく改定する「電子認証に関するガイドライン」において、「パスワード」ではなく、スペースも入れられる最低64文字の「英単語の組み合わせによるパスフレーズ」の使用を推奨しています。

う〜む、それ今言われても・・・・・

もちろんインターネットにおけるハッキング技術などの変革・発展が著しい状況で、ずっと正しいと言える法則などはないということは理解できなくはないですが、それにしてもルールとして根付いてしまっていることについて、今さら言われても・・・と思ってしまいますね・・・。

ヤレヤレ┐(´д`)┌