-
2024年10月07日 08時00分 公開
「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。
多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。
これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。
パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。
新しく定めた標準では、NISTはオンラインツールやソフトウェアが「定期的にパスワードを変更するようユーザーに要求してはならない」としている。これは、頻繁な変更がかえって脆弱なパスワードの使用につながる可能性があるためである。ただし、パスワードの侵害が疑われる場合は、即座に変更を強制する。
パスワードの長さについては、最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。
文字種については、印刷可能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。これは、そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可能性があるためである。
全文はソースでご確認ください。
https://www.itmedia.co.jp/news/articles/2410/07/news054.html -
そりゃそうだけど、固定も怖くね
-
>>2
頻繁に変えさせると奇数月はコレ、偶数月はコレ、とかパターン化する奴だらけになる(結果、固定と変わらん) -
長けりゃいいんだよ
-
自分のパスワードが漏れていないかどうか確認するにはコチラ↓
-
うちの会社がなんか変でなぁ
グループウェアのパスワード変更を半年ごとに強制なんだが、
過去に使ったパスが「以前使われたパスワードです」と弾かれるんだよ過去何年ぶんのパスワード履歴を全部保管してるってことだよな
逆に危なくねえか?これ -
>>5
パスワードの文字列そのものを保存してるわけじゃないから問題ない
・・・はずなんだが、時々生のパスワードそのものを保存してるケースもあるからなんとも言えんな。
(流出したパスワードで他のサイトに侵入されてしまうのはまさにこのケース) -
>>5
半年はまだいい方なのでは
3か月で変更が2つあったわ -
>>5
下6桁を
202410の年月にすれば、いいんじゃないかな -
>>5
いや、ハッシュを保存して比較してるだけだろう
同じパスワードならハッシュも一緒 -
複数サイトでパスワード設定を要求され覚えきれないんだが、どうしたらいいんだ?
-
プライベートのアカウントは大事にするけど
職場支給のアカウントは適当な扱いだな
やはり数字を増やしていくパターン多いのかw -
覚えるの面倒だからみんなabcdefg使ってる
数字入れなきゃ駄目なときはabcd0123とかね -
何年これ言い続けてんだよw
-
>>9
でも改めない銀行 -
スマホも現状は完熟してんだからパスワード代わりになる生体認証技術をもっと高めるべき
-
特定キーをキーボード隣にずらして繰り返し使用奴wwwwww
-
パスワード沢山あって全部付箋紙に書き出してるわ。バカじゃねw
-
以前のパスワード弾かれるから思いっきりわかりやすい連番パスワードを設定するに至った。
-
2週間でに1回とかになると交互やローテで同じパスワード使い回すようになるしな
-
知ってた
-
今は個人アカウントへの不正ログインの数が凄まじいからパスワードはかなり大事
-
文字列+数字+文字列
これが基本 -
企業側の責任転嫁でやってるからな
システム管理が外注だから仕方ないが -
そりゃそうだ
使いまわし会社のだって3回ぐらいすれば以前使っていたの使えるでしょ
-
いつも思うけどあんな単純なパスにしてる人ほんまにおるんか
-
覚えられるわけないからパスワードマネージャ使うけど一元管理するとそっから漏れた時怖いんだよな
-
漢字OKにして欲しいわ
「覇須輪亜怒一」 とかにしたらAIでも見破れんだろ -
>>34
平仮名カタカナ漢字混ぜた日本語パスワードが最強やと思うわ -
基本のパスの前後と真ん中に@とか記号入れてたら突破はそう簡単にできやんやろ
-
普通は変更せずに2~3個をずっと使い回すよな
-
パスワード「パーフェクトだ、うp主」
-
2、3個でループだね
パスワード分からなくなるのが一番ヤバイし -
パスワードの使い回しがリスクあるのはわかるけど
定期的な変更って意味ある?
例えば0721ってパスワードだったのを1919に変えても
総当たりをされたらいずれヒットする可能性はかわらないよね
あくまでも例なので4桁数字の脆弱性はまた別の話ね -
変えても意味無いからな
覚えることも難しい長くて複雑なパスワードなんて管理ツールを使わないと人間には扱えない
もはや文字のパスワードは存在理由が薄い -
パスワード入れてくれって言うから
passwordにしちゃダメだったのか -
そもそもアカウント盗まれた事ねーし
-
結局同じパターンの使い回ししてたり数字ずらしたりとかしてるだけだもんな
-
長く面倒なの覚えても、毎年変えろとなると?
「あれれ?、どれだっけかな?」 → 「え~い、面倒だ、覚えやすい簡単なのに」
まあ、こうなるよね? = 預かった情報管理する側がサボっちゃいけません
-
これぞ衆愚政治の極みやな(政治じゃないけど)
単要素認証はダメ
を強く報じない日本の報道
-
楽天とか変えさせようとするけど返って危ない
-
1番腹立つのは数字がなきゃダメとか記号がなきゃダメとか要求するくせに
最大文字数が少ないやつ -
>>54
64文字は欲しいな -
パスの保管はめんどくさいよな
スマホやPC内にも保存したくないから無用にID作らないようにしてる
おかげで詐欺メールや電話は使ってないサービスだとすぐ分かる -
パスワード変えろっていうのは聞くくせに、変えなくていいっていうのは広まらないんだよね
-
>>57
バカどもが一度間違った知識を憶えると死ぬまで改まることがない
なんなら子や孫の代まで伝わっていく
そしてまともな知識を持つ少数の人がいなくなって、間違った知識だけが残る -
これNSAが困るからゴリ押ししてるのかと勘ぐってしまう
せっかくパスワード手に入れても1からやりなおしだからね -
>>58
NISA始まる前から言われてる話だぞ -
モニタの枠に書いとけばいいやろ
-
1年毎に強制的にパスワード変更求めてくるSAP\(^o^)/
色々ITシステム使ってるけど強制変更求めてくるのはSAPのみ
-
言われてるぞ楽天
-
会社で変えろって言われるけど全部記憶するのは不可能なのにパスワード管理ソフト買ってくれない。
コメント