NIST SP 800-63B-4 第2次公開草案のパスワード要件の変更点をまとめてみた

NIST SP 800-63B-4 第2次公開草案のパスワード要件の変更点をまとめてみた

#Application Security
吉本明人

吉本明人

facebook logohatena logotwitter logo
Clock Icon2024.10.17

危機管理室の吉本です。
デジタルIDの認証に関するガイドラインであるNIST SP800-63-4のSecond Public Draft(第2次公開草案)が更新されていたので、変更箇所をまとめてみました。全体で467ページと相当なボリュームがあるので今回調べたのは、主に話題になっているSP800-63B-4のパスワード要件についてです。初期公開草案からなにが変更されているか知りたかったので調べたことをまとめます。

NIST SP800-63-4とは

NIST SP 800-63-4は、アメリカ国立標準技術研究所(NIST)が提供する、認証やID管理に関する「デジタルアイデンティティガイドライン」の第4版を指します。 全体概要の文書と3つの関連文書に分かれており、下記のタイトル毎に策定されています。

  • SP 800-63-4:Digital Identity Guidelines(デジタルアイデンティティガイドライン)
  • SP 800-63A-4:Identity Proofing and Enrollment(アイデンティティ証明および登録)
  • SP 800-63B-4:Authentication and Authenticator Management( 認証およびオーセンティケーター管理)
  • SP 800-63C-4:Federation and Assertions(フェデレーションとアサーション)

NIST SP800-63B-4とは

NIST SP 800-63B-4は、デジタルアイデンティティの認証のためのガイドラインです。パスワードやマルチファクター認証(MFA)を含む認証手段のセキュリティ要件を規定しています。特に、パスワードの管理に関して詳細なルールを提供しています。

ドラフトのリリース履歴

SP800-63-4の初期公開草案から第2次公開草案までの経緯を表にをまとめます。

日付 ニュース 概要
2022年12月16日 SP800-63-4 初期公開草案リリース 初期ドラフトで、119日間のパブリックコメント期間に約4,000件のコメントが付きました。
2024年8月21日 SP800-63-4第2次公開草案リリース 上記フィードバックを元に改善された最終レビュー用のドラフトで、10月7日までがパブリックコメントでした。

パスワード要件の変更箇所

確認方法

SP800-63B-4の初期公開草案と、第2次公開草案はそれぞれ次の場所で確認できます。

初期公開草案と第2次公開草案では章立てが変更されており、それぞれ下記の章でパスワードの要件が確認できます。また、初期公開草案ではパスワードをMemorized Secretsと表記していますが、第2次公開草案からはPasswordに統一されわかりやすくなっています。

変更内容

SP800-63B-4のパスワード要件の各項目について、初期公開草案から第2次公開草案でどのように変更されたか下表にまとめます。

項目 改定前 (5.1.1 ~ 5.1.1.2) 改定後 (3.1.1 ~ 3.2.12)
文言の簡略化 詳細で技術的な用語を多く使用(Memorized Secretsなど) より簡潔で一般的な用語を使用(Passwordなど)
パスワードの長さ 最小8文字 (5.1.1.1) 最小8文字で15文字以上を推奨 (3.1.1)
複雑性要件 シークレットに複雑性要件を課してはならない(5.1.1.2) パスワードに対して他の合成規則(異なる文字タイプの混合を要求するなど)を課してはならない(3.1.1)
Unicode文字の使用 Unicode[ISO/ISC 10646]文字も許容されるべきである (5.1.1.2) パスワードに Unicode [ISO/ISC 10646] 文字を使用することを推奨する (3.1.1)
ブロックリスト要件 過度に大きなブロックリストは大幅なセキュリティの向上をもたらさないため使用すべきではない。(5.1.1.2) オンライン攻撃はすでにスロットリング要件によって制限されているからという理由を明記(3.1.1)
フィッシング耐性 言及なし パスワードにはフィッシング耐性がないと明記 (3.1.1)
パスワード管理ツールの推奨 パスワード管理ツールの使用を許可しなければならない (5.1.1.2) 参考文献を追加 (3.1.1)

変更された部分ではありませんが、パスワードに複雑性の要件を課さないという理由が付録A「パスワードの強度」で解説されていて面白かったです。よくありがちな制限ですがパスワードの選択肢が狭まり、予測可能となることでパスワードの強度が弱まるようです。興味のある方は、詳しくは付録A「パスワードの強度」を参照してみてください。

まとめ

今回まだ正式版ではありませんが、NIST SP800-63B-4 最終ドラフトの変更箇所をまとめてみました。相当なボリュームがあり、役立つ文書なので他の部分も読んでみたいと思いました。今後正式にリリースされたらまたチェックしたいです。

Share this article

facebook logohatena logotwitter logo

関連記事

AWS WAF : A primer and walkthrough of your first deployment

AWS WAF : A primer and walkthrough of your first deployment

User avatar
varad.karpe
2022.06.22
Cloud One Application Securityのエージェントで対応している言語をまとめてみた。

Cloud One Application Securityのエージェントで対応している言語をまとめてみた。

User avatar
Toda Tomohiro
2022.02.28
Laws of Cryptocosm : a peek

Laws of Cryptocosm : a peek

User avatar
varad.karpe
2021.10.01
Cloud One Application Security(Preview)をAPI Gateway + Lambdaの環境に導入してみた

Cloud One Application Security(Preview)をAPI Gateway + Lambdaの環境に導入してみた

User avatar
Toda Tomohiro
2020.11.28
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.