-
「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。
多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。
これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。
パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。
新しく定めた標準では、NISTはオンラインツールやソフトウェアが「定期的にパスワードを変更するようユーザーに要求してはならない」としている。これは、頻繁な変更がかえって脆弱なパスワードの使用につながる可.能性があるためである。ただし、パスワードの侵害が疑われる場合は、即座に変更を強制する。
パスワードの長さについては、最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。
文字種については、印刷可.能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。これは、そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可.能性があるためである。
パスワード選択時には、一般的に使用や予想される、または過去に侵害されたパスワードのブラックリストと照合する。これにより、脆弱なパスワードの使用を防ぐ。ブラックリストに含まれるパスワードが選択された場合(文字数https://www.itmedia.co.jp/news/articles/2410/07/news054.html
-
桁数増やして公衆Wi-Fiつかわなければまず大丈夫。
あとはクリップボードに記憶させるなよ。 -
グーグル様が全て覚えてて勝手に書き込んでくれる
-
>>3
ブラウザに覚えさせるの危ないよな -
極論二段階認証にすればパスabcdとかでいいだろ
-
結局本人でもわかんなくなるだけ
-
#こういう文章をパスワードにするのがいいと思うんだよね
#kouiubunsyouwopasuwaadonisurunogaiitoomoundayone
-
将来は顔とか静脈や虹彩、指紋なんかと
リアルタイムに映像データとかトラッキングしてゼロトラストすればよいよ
社会の連続性とか見て、スパイが認証要素だけ用意しても違う会議とかに出てたりトイレ行ってるぐらいじゃ行動が合わない、とかで弾け
小説家が困るだろうけど -
大文字混ぜろ←これうざい
-
>>8
大文字は必須
一文字あたりのパターンを増やしたりパスワードのバリエーション増やすのに有効
1月のパスワードは最後から1文字目を大文字
12月のパスワードは最後から12文字目を大文字
とかできる -
全部整体認証になれば良いのに
-
>>9
生体認証を持ち上げ過ぎだと思う
指紋なんて簡単に盗める
虹彩認証なんて今のスマホのカメラの解像度なら自撮りや接写画像から偽造できそう
静脈認証もパターン少なそう -
>>17
首をゴキってやったらログインできるやつのことだろ -
たまに10文字以上12文字以上とか求めるのもやめさせてくれ
-
windowsアカウントのパスワード消してアプリ認証にしたらRDP接続出来なくなってめんどくさかった
-
文字数以外のルールを与えるとそれさえもハッカー側に都合の良い情報になってしまうんだよな。
サーバーごと乗っ取られてる場合はパスワードの更新作業に平文でゲットされてしまう。 -
>>14
今どき平文で保管してるバカはおらんだろ -
>>19
残念ながら、そうでもない -
漢字のパスワードにすれば解決
-
>>15
半角全角の数字、英数字
長音記号、ハイフン
斉藤、斉藤、斎藤、齋藤、齊藤、等の異体字トラップあるある -
政府当局が覗きにくくなるから?
-
ええこと言う
-
キャプチャがでて毎回ミニパズルやらせるのも禁止にしてくれ。うざすぎ。
-
ユニコード使えるようにしろよ
-
パスワード登録の時に、入力後に「大文字まぜろ」「数字使え」とか細かくダメ出しするサイトがあってすげーイライラした。
ルール書いとけよ。 -
>>26
それこそが罠
そこで情報集めて他のサイトで試す
間違ったPasswordは有益な情報 -
>>30
パスワードの設定条件の提示と言うのは
言い換えれば
存在しないパスワードの条件を提示してるのと同義だからね
正しいパスワードの条件を絞れるから助かるという -
これかなり前から元MSのセキュリティ担当が言ってて、ちょくちょく記事にもなってるのに、なかなか改善する所ないよな
-
大文字入れるのは良いんだけど、
ログインするときは「大文字を入れたパスワード」って書いてくれよ。
それなら大体見当がつく。いつものパスワードを入力して分からなくなったから新規にパスワードを入力すると「大文字を入れろ」って書かれているのをみて思い出す。 -
大文字要求されたらいつものパスの最初の文字を大文字にするだけって決めてるからそこは迷わん
記号パターンだと最後に特定の決めてる記号足すだけ -
大文字・小文字混在の他に
_も使うぞ -
そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可.能性があるためである
バカ業者音読しとけ
-
漢字かな混じりをオッケーにすれば外人にほぼ突破不能になる最強パスワードの出来上がり。
-
IDをキンペー氏ね、パスをプーチン氏ねにしたらハッカーからの防御力上がらないかな
-
攻撃側も学習進歩するから、これが広まった頃にはまたこう変えろって言われるんやろな
まー何にせよイタチごっこは基本か
コメント