アメリカ国立標準技術研究所 (NIST) が定める、デジタルアイデンティティガイドライン (SP800-63B-4) において、パスワードの取扱いに関する認証者 (サービス提供者) への要求として、最も不適切なものはどれか。
@ パスワードの長さが少なくとも8文字であることを要求しなければならない。
A パスワードには通常の文字に加えて、Unicode文字も受け入れる必要がある。
B パスワードを定期的に変更することを利用者に求めなければならない。
C パスワードを設定及び変更するときには、頻繁に使用される、予期される、又は侵害されていることが知られている値を含むブロックリストと比較しなければならない。
D パスワードマネージャーの使用を許可しなければならない。
B
@ 5.1.1.1 に「Memorized secrets SHALL be at least 8 characters in length.」として記載がある。
A 5.1.1.2 に「All printing ASCII [RFC20] characters as well as the space character SHOULD be acceptable in memorized secrets.Unicode [ISO/ISC 10646] characters SHOULD be accepted as well. 」として記載がある。
B 不適切である。5.1.1.2 に「Verifiers SHALL NOT require users to periodically change memorized secrets.」として、「定期的な変更を求めないように」との記載がある。パスワードは侵害が疑われる場合にのみ変更を要求することが推奨されている。
C 5.1.1.2 に「When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a blocklist that contains values known to be commonly used, expected, or compromised. 」として記載がある。
D 5.1.1.2 に「Verifiers SHALL allow the use of password managers.」として記載がある。
| V−31 | 目次 | V−33 |