米国立標準技術研究所(NIST)のマネージャーであるビル・バー氏は、2003 年に 8 ページの文書を書きました。強力なパスワードを作成するためのこれらのガイドラインは、これまで以上に頻繁に使用されるテンプレートです。
このテンプレートが原因でさまざまなパスワード規制が設けられています。大文字と小文字、特殊文字、数字を含める必要があります。多くのユーザーはこれらの規制を煩わしく感じています。ウォール・ストリート・ジャーナルの報道によると、 バー氏は現在この件について謝罪している。
間違った政策
現在は引退しているバー氏はインタビューで、非常に残念に思っていると語った。結局、ガイドラインは複雑すぎてほとんどの人がよく理解できませんでした。そして真実は、私が間違った道を進んでいたということです。」
バー氏は当時、パスワードについてはあまり知らなかったと語った。彼は 80 年代の白書から知識を得ました。
このルールは、人間がパスワードを推測しようとすることを部分的に想定していました。今日では、それはもう通用しません。 XKCD コミックで明確に説明されているように、コンピュータは、特殊文字、数字、大文字を含むパスワードを、通常の 4 つの単語からなる単純な文字列よりもはるかに速く推測できます。
長いパスワード
今日の危険は、ブルート フォース手法を使用してパスワードを解析することではなく、むしろフィッシングやインターネット サービス データベースへのアクセスによるログイン データのキャプチャです。
NIST もこれを認識しており、現在のガイドラインでは「D00feRules!」や同様の組み合わせの代わりに長いパスワードを推奨しています。ただし、これがインターネット ポータルに到達し、そこでのパスワード規制がそれに応じて調整されるまでには、おそらく数年かかるでしょう。