NISTの新しいパスワードポリシーの実用的なアプリケーション

他の戦略は実装が難しいだけでなく、NIST 800-63bの意図に反する可能性があります。幸い、複数のブラックリストソリューションがあるので、別の戦略はおそらく必要ない（または望まない）。

ここに私の推論があります。

最初に、800-63bのセクション5.1を要約すると、ユーザーのパスワードの品質のチェックに直接適用できる検証者（パスワードなど）に関する部分です。

必須：

• オーセンティケーター（パスワード）は次のようにする必要があります：
  • 8文字以上

• 認証者はまた、「よく使用される、期待される、または侵害されることが知られている値」（質問の中心）を使用してブラックリストをチェックしました。

  • 以前の違反コーパスから取得したパスワード
  • 辞書の単語
  • 反復または連続する文字（「aaaaaa」、「1234abcd」など）
  • サービスの名前、ユーザー名、およびそれらの派生語などのコンテキスト固有の単語
• ブラックリストで見つかった場合：
  • 別の秘密を選択する必要があることを加入者に通知する
  • 拒否の理由を提供する
  • 加入者に別の値を選択するように要求する

私の読書では、800-63bセクション5.1の意図は次のように見えます。

• ユーザーがブラックリストに登録されたパスワードを最初から使用できないようにする

• パスワードの選択が不十分だった理由をユーザーに理解させる

これがパスワード変更インターフェースを介して直接実行できない場合、他の戦略では、人間のポリシーを介してこれらの目標を課す必要があります。これには以下が必要です。

• ユーザーがブラックリストでパスワードを検索する別の方法。 Windowsのパスワード変更インターフェイスは専用であり、設計によって分離されているため、これを行うデジタル方法を提供するのは困難です（そして、代わりに本を印刷することは、使いやすさと保守性の悪夢になります！）

• 事後のコンプライアンスを監査する方法（ブラックリストを辞書として使用してパスワードをクラックすることにより）。とにかくこれを行う必要があります...しかし、この場合、それはNISTガイダンスの目的に反していると思います（ブラックリストに記載されたパスワードが最初から使用されないようにするためです））

幸い、次のことだけを実行する必要がある場合は、別の戦略は必要ありません。

• 最小の長さを確認してください。在庫のADの複雑さの要件により、これはすでに可能です。

• ブラックリストを実装します。商用（Anixisなど）とFOSS（ https://github.com/jephthai/OpenPasswordFilter ）の両方のソリューションがあります。

言い換えると、代替戦略は必要ないだけではありません-それらは非実用的であり、困難なユーザーエクスペリエンスを提供します...そして実際に防御可能な形で適合しない場合があります。