パスフレーズは複数の単語を連結して作るパスワードのこと。
従来、強度の高いパスワードを作るには、数字や記号など複数の文字種類を混在させたランダムな文字列にするのが良いと言われていた。一方でそのようなランダムな文字列は人間が覚えにくく、利便性に問題があった。
これに対して、パスフレーズは、パスワードの強度を十分高くしながら人間が覚えやすいパスワードを作成できるパスワードの形式である。パスフレーズは複数の単語を繋げて作成する。パスフレーズ全体を推測されないために単語同士は無関係な方が良い。単語と単語の間はハイフンなど任意の記号で接続する。例えば、bankrupt-mythical-ken-ritesといった形式である。記号や数字、大文字・小文字などは無理に混在させなくて良い。
パスフレーズの考え方は数年前から存在したらしい。2022年の1Passwordのブログに、安全かつ入力しやすいパスワードとしてパスフレーズが紹介されていた。また、1Passwordはパスワード生成機能の中で「覚えやすいパスワード」オプションを選択すると、パスフレーズ形式のパスワードを生成できる。
- Tip: Use passphrase when you need to secure but easy-to-type password | 1password blog
NIST SP800-63B(認証に関するガイドライン)が、2025年8月の更新でパスフレーズ形式を推奨するようになったために改めて注目されているらしい。Appendix Aに推奨するパスワードに関する議論と根拠が示されている。
- NIST SP800-63B Appendix A: the strength of password
NIST SP800-63B 2025年8月更新のPassword Verifiers部分を見ると、パスワードに関する具体的な推奨要件が記載されていた。主だったものを抜き出してみた。
- 文字数は、1段階認証の場合15文字以上を推奨、2段階認証の場合は最低8文字
- システム提供者は少なくとも64文字以上の文字数を設定可能にするべき
- すべてのASCII文字とスペースをパスワードに使用可能にし、複数の文字種別の利用は強制しない
- 定期的なパスワード変更を求めるべきではない、漏洩等が認められた場合は変更を強制すると良い
- パスワードのヒントは設定できないようにしたい方が良い
- 「最初のペットの名前は?」のような知識ベースの認証は提供しない方が良い
実際に、頻繁に入力する必要のあるパスワードをパスフレーズ形式に変更したところ、文字数を15文字以上にしても覚えやすく入力の負担が減って利便性が上がったと感じた。
パスワードマネージャを使っていると文字種混在のランダム文字列を使っていても特段の不便はないため、敢えてパスフレーズ形式に変更する必要性は感じないが、手入力が必要になる場面では今後積極的にパスフレーズを使おうと思う。
