パスワードの代表として「open sesame」を例として、認証の変化をまとめます。
NISTガイドラインと「open sesame」の進化マッピング
| 時代 / 指針 | 認証思想 | 例えると... | open sesame の変化 |
|---|---|---|---|
| 〜2004 初期のパスワード文化 |
文字列照合・シンプル | 合言葉一致で扉が開く | opensesame |
| 2011 複雑性と定期変更 |
定期変更・複雑さ重視 | 合言葉を難解に&時々変える |
0p3N!Se5@me2023 → 3ヶ月後 0p3N!S3s@mE2024
|
| 2013 複雑性さらに強化 |
記号/大文字/数字/小文字必須 | 誰も覚えられない呪文に |
Op3N_*S3s@Me!#7(って付箋に書いちゃうよね) |
| 2017 定期変更撤廃・長さ重視 |
長く、使い回さず、漏洩時のみ変更 | 本人には理解できる長文に | open_sesame_gold_treasure_door |
| 2022 公開鍵・FIDO2 推奨の強化 |
パスワードから証明へ | 合言葉ではなく"署名"で開ける |
(何も言わない) 目の前で署名、筆跡鑑定 → 扉が開く |
| 2025 Passkey優先・フィッシング耐性 |
パスワードレス、所有+生体、チャレンジ | 私が言うのではなく「正しい鍵を使えることが証明」 | (顔認証)+(端末が署名) →無言で開門 |
進化の本質を3行で
- 2000年代:言葉を知っているか で開門
- 2010年代:言葉を複雑に・長く・漏洩対策 へ
- 2020年代:言葉をやめて、鍵・署名の筆跡鑑定 へ
ひとことで
open sesame は "唱える呪文" から、
"鍵の署名で証明する筆跡鑑定の仕組み"へ進化した
参考:NIST SP 800‑63 公式リンク
| 版 | 年 | リンク |
|---|---|---|
| SP 800-63 初版 | 2004 | https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-63ver1.0.2.pdf |
| SP 800-63-1 | 2011 | https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-63-1.pdf |
| SP 800-63-2 | 2013 | https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-2.pdf |
| SP 800-63-3 | 2017 | https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf |
| SP 800-63-4 (Draft2) | 2022 | https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-4.ipd.pdf |
| SP 800-63-4 (Final) | 2025 | https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-4.pdf |
以降はちょっと詳細版です
専門用語の補足
- 「トークン」から「オーセンティケーター」への用語変更
- 初期のガイドライン (SP 800-63-2以前) では、パスワードなどの認証要素は 「トークン (Token)」 の一種として扱われていました(例: メモライズド・シークレット・トークン)。
- 2017年のSP 800-63-3以降、NISTは用語を 「オーセンティケーター (Authenticator)」 に変更しています。これは、より広範な認証技術を包含し、以前の「トークン」という用語が持つ曖昧さを避けるためです。
- パスワードは、オーセンティケーターの中でも「メモライズド・シークレット」というタイプに分類されます。
- 「保証レベル (LOA)」から「IAL/AAL/FAL」への分割
- 2013年までの旧版 (SP 800-63-2) では、認証の強度を単一の保証レベル (Level of Assurance, LOA) (レベル1~4) で定義していました。
- 2017年のSP 800-63-3でこの概念が廃止され、アイデンティティ証明の確実性 (IAL)、認証プロセスの堅牢性 (AAL)、およびフェデレーションの堅牢性 (FAL) という3つの独立した保証レベルでリスクを評価する構造へと大きく変わりました。
NISTガイドラインと「open sesame」の進化マッピング (ちょっと詳細版)
| 時代 / 指針 | 認証思想 | 補足・修正点 |
|---|---|---|
| 〜2004 初期のパスワード文化 (SP 800-63 v1.0.2) |
文字列照合・シンプル | この時期、パスワードは 「秘密(Secret)」として扱われ、「あなたが知っている もの (something you know)」という認証要素として分類されています。 |
| 2011 複雑性と定期変更(SP 800-63-1) |
定期変更・複雑さ重視 | この時代の特徴である複雑性の要求は、主にオフライン辞書攻撃への耐性を高めるための「エントロピー (Entropy)」の増加を目的としていました。複雑な構成ルール(大文字、数字、記号)によってエントロピーに「ボーナス」を付与する考え方がありました。 |
| 2013 複雑性さらに強化(SP 800-63-2) |
記号/大文字/数字/小文字必須 | このバージョンはSP 800-63-1の限定的な更新であり、主に登録プロセスに焦点を当てており、パスワード要件の根本的な考え方は引き継がれています。パスワードが覚えにくくなると、ユーザーが書き留めてしまうなど、セキュリティを損なう行動につながる可能性があることが指摘されています。 |
| 2017 定期変更撤廃・長さ重視(SP 800-63-3) |
長く、使い回さず、漏洩時のみ変更 | この版で認証モデルがAAL/IAL/FALに大きく再構築されました。また、このバージョンでは、「事前に登録された知識トークン」(よくある秘密の質問など)が、しばしば非常に弱いパスワードの特殊なケースであると認識され、認証要素としての利用が廃止されました。これは、従来の「秘密を知っていること」の脆弱性が明確になったことを示しています。 |
| 2022 公開鍵・FIDO2 推奨の強化(SP 800-63-4 ipd) |
パスワードから証明へ | この草稿の時点で、FIDOパスキーなどの新しい認証モデルや技術がガイドラインで十分に考慮されているかがレビューアに問われており、公開鍵技術の重要性が高まっていることが示唆されています。また、従来のパスワード(メモライズド・シークレット)は、暗号鍵に比べて複雑性が低く、脆弱性があることが改めて認識されています。 |
| 2025 Passkey優先・フィッシング耐性(SP 800-63-4 Final) |
パスワードレス、所有+生体 | この最終版では、認証プロセスの堅牢性を示すAALに焦点を当てています。AALの高いレベルでは、フィッシング耐性を持つオーセンティケーター(例:公開鍵暗号に基づくPasskeyなど)の使用が推奨されます。認証は、単なる秘密(パスワード)の提示ではなく、鍵の所持と制御を証明する暗号プロトコルによって実現されます。また、「使いやすさ (Customer Experience/Usability)」 の考慮がリスク管理プロセスに組み込まれ、適切なセキュリティ対策がユーザーにとって容易であることが重要視されています。 |
進化の本質を3行で、ひとことで、のちょっと詳細版
- 2000年代:言葉を知っているか で開門
- → 「あなたが知っている秘密」 の提示が認証の中心でした。
- 2010年代:言葉を複雑に・長く・漏洩対策 へ
- → 複雑化は、パスワードのエントロピーを高め、オフライン攻撃(辞書攻撃など)から保護する目的がありました。
- 2020年代:言葉をやめて、鍵で署名 へ
- → 従来のパスワード(メモライズド・シークレット)、および運用する人間の限界が認識され、暗号鍵(あなたが持っているもの)署名(認証プロトコルを通じて所持と制御を証明する)へと移行しています。
- ひとことで: open sesame は "唱える呪文" から、"鍵の署名で証明する仕組み"へ進化した
- → パスワード(秘密の共有)から公開鍵認証(証明)への技術的な変化を、セキュリティ専門にしない人に対して伝えたい表現。
進化の音楽は脳内再生してください。
デジタル認証とは、電子的に提示されたユーザーIDへの信頼を確立するプロセスであり、これは主にオーセンティケーターの所持と制御の証明によって行われます。
- → パスワード(秘密の共有)から公開鍵認証(証明)への技術的な変化を、セキュリティ専門にしない人に対して伝えたい表現。