あのパスワード規則、実は失敗作だった - WSJ
2017/08/09 11:56:26
paravola
2003年、国立標準技術研究所(NIST)の中間管理職だったバー氏は...連邦政府機関や大学や大手企業は、パスワード設定の規則を検討する際にこの文書を頼るようになった。「今では自分がしたことの多くを悔やんでいる」
2017/08/09 12:31:10
mfluder
“インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた”
2017/08/09 12:44:25
nagisabay
もっと大きな声で世界中に発信してくれこれ>あのパスワード規則、実は失敗作だった - WSJ
2017/08/09 12:46:11
xbs2r
記号を増やしたところで使用可能文字は62文字(英数)からせいぜい95文字(ASCII印字可能文字全て)にしか増えないもん。1文字あたり0.6bitしか増えない。それより最短PW長を8文字から10文字に増やす方が圧倒的に効果がある
2017/08/09 13:18:56
miruna
“これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」”
2017/08/09 13:19:52
qsona
正解“ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ”
2017/08/09 13:29:04
isrc
バー氏は「NIST 800-63 別表A」を作成しパスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた。既に退職したバー氏は「今では自分がしたことの多くを悔やんでいる」と話す。
2017/08/09 13:33:40
snowcrush
この手の誤りは大体、人間の脳は無限に複雑なパスワードを記憶出来るという前提から来ている。実際には脳の能力は規則をハックして簡単なパスワードを生成するのに使われる。もしくは単に紙にメモするようになる。
2017/08/09 13:41:13
bottomzlife
教条的「記号使え論者」開発者にも多いので早く広まって!/CMUのセキュリティ専門家がすげークールなカッコした女性でしびれる
2017/08/09 13:50:54
paradisemaker
ほんと文字コードという基本仕様を理解していないとしか思えない
2017/08/09 14:07:07
lyiase
"90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だという。「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない"
2017/08/09 14:10:53
enemyoffreedom
せやな。でも意味のない苦行に意義を見いだす人の多い日本では悪習はなかなか改まらなそう
2017/08/09 14:11:22
erukiti
定期リセットの類いは絶対悪ダメゼッタイ。あと使い回しもゼッタイダメ。でも文字種は基本的には複雑でいいと思う。どうせ人間が生成せずに人間が覚えないんだから。みんなパスワード生成ツールと参照ツール使えや
2017/08/09 14:15:48
mixvox-j
今更感
2017/08/09 14:21:05
sumika_09
パスワード変更は盗まれた気がした時にするもの。了解です。
2017/08/09 14:24:10
otihateten3510
本当に申し訳ないと思っているならできるはずだ。焼き土下座
2017/08/09 14:28:03
Shinwiki
もっと言って
2017/08/09 14:31:39
deep_one
パスワードよりパスフレーズの方がいいのは正しいのだが、その場合も「有名フレーズ」って問題が出るのよね。
2017/08/09 14:35:20
okbm
“人類が1日にパスワード入力に費やす時間が計1300年相当を超えている”
2017/08/09 14:35:41
miki3k
いまだにパスワードが上限8文字規制のところがあるんだよなあ。最低16文字、できれば32文字まで増やして欲しい。
2017/08/09 14:38:12
t_massann
未だに文字数制限があってフレーズを入力できないサイトがかなりある。そんな状態では記号大文字は有効だと思う/パスワードに日本語使えるようにするのは変換エンジンが学習するので良くない。秘密の言葉で既に問題
2017/08/09 14:42:57
masa_w
“今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。”
2017/08/09 14:43:27
takeishi
盗まれちゃったら、パスワード規則も意味無いしねえ
2017/08/09 14:43:40
vanbraam
"単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい"<これを最近試している.まだ慣れないが,いい感じではあると思う.ただこれも増えると...
2017/08/09 14:47:47
yoshi-na
パスワードは文字数を増やそう!
2017/08/09 14:52:39
DustOfHuman
パスワード入力欄が伸びないとか平気で平文をメール送信してくるサイトとかあるから生成ツール使うのが一番安全なんだろうなあ
2017/08/09 14:55:48
kuippa
人間なんだもの間違うことはあるさ。でも後進がそれを金科玉条にしちまうのは許さん
2017/08/09 14:57:37
norick
定期パスワード変更と文字数制限(6文字決め打ちとか)のサービスは今すぐ滅ぶべき。
2017/08/09 14:59:51
toaruR
失敗作であっても、大失敗作よりはマシ(ノ∀`)
2017/08/09 15:00:51
sds-page
パスワードに漢字使えるようにしろ
2017/08/09 15:02:14
redra22
575を世界に広げよう!
2017/08/09 15:03:19
hietaro
クラッカー自身の意見も書かれてればよかったな。
2017/08/09 15:04:05
potohud
定期的なパスワード変更がセキュリティー向上にほぼ無意味どころか、使い回しが増えデメリットのがよほど大きいということは、もっと広まって欲しい。 無駄なパスワード変更を強いられる場面が多すぎる。
2017/08/09 15:15:10
call_me_nots
「パスワードには記号や大文字や数字を盛り込み、定期的に変更しろと言ったな。すまんが、あれは(結果的に)間違いだ。」
2017/08/09 15:17:00
if_else
“使われやすいパスワード500種類を盛り込んだドレスを作った” ほしい
2017/08/09 15:17:00
kns_1234
"90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半"
2017/08/09 15:18:24
Chinosoko
特定の文字種じゃなくて強度判定クリアを必須にして、強度を高めるのに、記号でも、(よくあり過ぎない)単語でも、好きな物を使えるようにすればいいんだろうな。判定を入れられないなら、記号必須の方がマシと思う。
2017/08/09 15:19:04
runt_nc
ここまでKeePassなし
2017/08/09 15:20:17
d-matchon
パスワード管理ソフトで生成して自動入力してってやってると、パスワードのある意味とは…?と思えてくる。近い将来なくなるものの一つだろうなぁ。、
2017/08/09 15:23:39
megazalrock
ちゃんとハッシュ化して保存しているなら、パスワードの文字数を増やしても問題ないはずなんだよな。ハッシュ化して保存しているなら。
2017/08/09 15:24:40
rjge
“世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない” 日本が世界の一部になるのはいつごろだろう
2017/08/09 15:28:44
wata300
つまりパスワード文字数を増やしたほうがいいということだね。いまだに上限がきついところとかあるからなんとかしてほしい。
2017/08/09 15:29:59
note103
基本情報技術者試験の過去問でパスワードの適切な取り扱いとして「定期変更」を選ばないと間違いになる問題があったけど(目を疑った)、さすがに二度と出てこないだろうな / ←ITパスポートだった。H28春の問90
2017/08/09 15:34:29
jegog
ロリ顔ちゃん、かわいい!
2017/08/09 15:39:04
pptppc
しくじり先生に出るしかない
2017/08/09 15:41:33
tkysktmt
“世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」”
2017/08/09 15:41:36
chikoshoot
もういっそ絵文字も使えるようにしろって思ったけど、はてなーの場合それはそれで漏洩の危険が高まりそう💩
2017/08/09 15:42:43
usomegane
20世紀末からずっと特殊文字を使わず大文字小文字を混ぜず長いけど意味のある文字列にしパスワード変更も出来る限りしなかった私が正しかったということか(正しさを確信してたのではなく面倒だっただけだが)
2017/08/09 15:45:50
tetsuya_m
この記事印刷して銀行のお偉いさんに配ってくれないかな?
2017/08/09 15:48:04
qinmu
《NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。》
2017/08/09 15:49:48
Cujo
これがしすてむにとりいれられてげんばまでおりてくるのにあとなんねん?
2017/08/09 15:52:35
hevohevo
パスワード期限と特殊文字の有無はセキュリティにほとんど役立たない、むしろ複雑性より長い文字数が重要とのこと。これからはパスワードよりもパスフレーズというキーワードが流行るかな。
2017/08/09 15:57:22
hi_kmd
パスワードの設定可能文字数がたいして長くないくせに「安全なパスワードではありません」とパスワードの評論をしてくれるサイトにいつもイラッとする。
2017/08/09 16:00:59
kzhvsonic
漢字仮名交じり文つかえたらよいよね。
2017/08/09 16:03:52
Panthera_uncia
パスワードドレス意外にオシャレ
2017/08/09 16:05:33
igrep
"文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなる"
2017/08/09 16:06:43
tmtms
"90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半" "小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった"
2017/08/09 16:10:29
isano
マジか “小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった。”
2017/08/09 16:13:03
joker1007
全く同意するのだが、現実はパスワードの文字数上限が8〜10程度だとか、記号入れたら弾かれたり勝手に除外したり上限を越えた末尾を切り落としたりとか無茶苦茶やるサイトが横行しているので、それどころではない。
2017/08/09 16:19:39
tail_y
「パスワードに記号や大文字や数字を盛り込み、定期的に変更する」のは間違いであり、むしろセキュリティリスクを高めるとのこと。
2017/08/09 16:20:54
xlc
かつて日本側のリモートデスクトップのPCに誰もログインできなかった事があった。パスワードに記号が指定されていたのだが、日本側のPCがJISキーボードだったのよ。中国にJISキーボードはないよ。
2017/08/09 16:21:44
BigHopeClasic
“今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。”
2017/08/09 16:26:57
koyancya
そうそう。お疲れ様でした -> "「彼のセキュリティー文書は10~15年もった。私は、自分が作成した文書がそれくらい長くもつことを願っている」"
2017/08/09 16:28:12
nakex1
似たような変な記号の組み合わせに引き付けられるのなら,似たような単語の組み合わせにも引き付けられそうだが。
2017/08/09 16:29:36
ymkjp
よく使われるパスワードドレスが欲しすぎる
2017/08/09 16:30:10
nikkatsu
最近思うのは、日本でパスワードの定期更新って要件が無くならない元凶の一つがPマーク。Pマーク取得のためのガイドラインに「パスワードの有効期限を設定する」のが望ましいとあって、ほぼ義務化されてる
2017/08/09 16:30:59
maruhoi1
"「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある。"
2017/08/09 16:31:49
tengaar
「実は失敗」ではなく、「今の世情には合わない」が正しい気がする/他のコメントにもあるけど、パスワードの上限が一桁とか二桁でも16とかのサービスはもう滅んでいい
2017/08/09 16:31:52
lifeisadog
なんてことを言いつつ、世界はパスワード排除に少しずつ向かっているのだ。二段階認証って結局、実態は指紋認証だしね。
2017/08/09 16:36:49
tora470
漢字入れたら途端に海外では難しくなるんじゃないかとたまに思う。別のセキュリティホール生まれそうだけど。
2017/08/09 16:39:14
hate_flag
毎回言ってるけど「必ず大文字と小文字と数字を含まないといけない」「大文字は使えない」「数字は必ず使うこと」というパスワード規則のサイトを作った奴同士で殺し合いして生き残ったポリシーに統一してほしい
2017/08/09 16:42:19
cocoonP
これの撤廃早く日本のガイドラインにも反映されてくれ……。10年かかりそうだが。
2017/08/09 16:42:50
sin-idea
会社でパスワード定期的に変更してることが情報管理が適切にできていることの免罪符になってるので、早く壊して欲しい
2017/08/09 16:47:39
kuniku
1,2,3,4,5 の連番で変更するわな。少し緩いとパスワード連続で5回変えると、元のパスワード使える。パスワード変更を一定期間できなくするのもある。P@ssw0rd!で大抵のルールは満たせる
2017/08/09 16:48:31
shaphere939
2ちゃんねるでパスワード付zipを解凍しようとした経験が無ければ、本当に強いパスワード規則は分からない
2017/08/09 16:48:48
Ereni
「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある
2017/08/09 16:53:17
bangflash
正しいパスワードの作り方貼っときますね https://xkcd.com/936/
2017/08/09 16:56:51
iwashi_mizu
一番セキュリティ大事な銀行・証券系のサービスが6~8文字とかのことが多くて普通に怖い
2017/08/09 16:58:17
respawn
文字数が同じなら記号入ってた方がいいんでしょ。分かりづらいなこの記事。
2017/08/09 17:05:24
sisya
定期的な変更はともかく、記号を入れておくという判断はさほど悪くないものだと思う。ただ、そんな上っ面の対応より、推測されづらいパスワードの”作り方”を方法論として示すべきだったと思っている。
2017/08/09 17:05:25
tettekete37564
失敗を失敗だったと公言でき、修正していけるという事が重要だね。定期変更はずっと否定してたけど、必ず復号化出来るという前提ならば間違っているとは言えないんじゃないかと思うようになって来たこの頃。
2017/08/09 17:05:41
shimasoba
常に16文字以上を使っていますよ。私しか知らない固有名詞の組み合わせなので覚えやすいし推測しにくい。^^
2017/08/09 17:08:46
new3
こんな感じのパスワードにしたいのではてなは入力可能パスワードの桁数を増やしてください:orenohatenaidnopasswordha1+2+3+4+5+6+7+8+9+10=56-1nanndakedokakinnmoshiteinaishisenyoue-mailaddresstukatteirukarahacksaretemohigaihasaishougenndatoomou
2017/08/09 17:13:22
hasegawatomoki
zipパスワードのメールでの別送もそうだけど、結局みんな何故それが有効なのかを考えずに雰囲気でセキュリティ対策してるからだと思う。
2017/08/09 17:15:58
NOV1975
もともとパスワードに文字数制限があったりなんだりしてた時代の風習だからなあ
2017/08/09 17:20:19
firstbento
銀行で1ヶ月ごとに変えろ言われるのウザい。とくに暗証番号
2017/08/09 17:26:42
tono-p
パスワードの定期変更は無駄とは言えない by TKDKGセンセイ
2017/08/09 17:26:54
aodifaud09
この辺はちゃんとした法律を作って厳しく取り締まるべき。定期的変更はもちろん禁止すべき。/Pマークワロタ。そこまで糞だったとは。
2017/08/09 17:31:51
mas-higa
"これらの規則はセキュリティーにほとんど役立たず"
2017/08/09 17:32:17
kno
“「自分以外に1万人の人が使っていたら、本当にランダムではない」”
2017/08/09 17:35:04
mkt
あわせて読みたい。 https://twitter.com/kitagawa_takuji/status/894774803185377280 から始まる一連のツイート。
2017/08/09 17:36:37
aceraceae
未だにわりと公共的なサービスが率先して定期的に変更させようとするからなあ。
2017/08/09 17:37:21
daruyanagi
間違いは仕方ないが ( ˘ω˘ ) 改めるのは難しい
2017/08/09 17:37:52
pongeponge
基本のパスワード10数文字+繰り返し回数+繰り返す度に使う変換規則、で5万文字くらい用意しておけば強いのでは
2017/08/09 17:38:12
bell_chime_ring238
毎月義務づけられてる勤務先のセキュリティチェックテストに「パスワードの定期変更を行う」が正解になる問題が出て、今日それに正解してきたばかり。誰もが知ってるあの大手さんの現場。今日も平和でした()
2017/08/09 17:43:31
madai0517
文字数上限があるサービスでは使えることもあるし、失敗作と切り捨てる程のものかな?より良い方法は文字数を増やすことだったってだけで。
2017/08/09 17:49:09
maeda_a
“パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた”
2017/08/09 17:53:17
Sutekase
パスワードの定期的な変更を呼び掛けられるより、ログイン通知をしてくれたほうがよっぽどありがたいという話。 「パスワードが盗まれた兆候」に敏感に気づけるような設計にしていただけるとありがたい。
2017/08/09 17:54:25
takatomo-h
メールでファイル送る際にzipでパスワードかけて後でパスワード書いたメール送るのも意味ないからやめようぜ
2017/08/09 17:54:27
tsutsumi154
銀行の暗証番号変更アドバイスはガン無視すればいいだけだけどパスワード変更期限は本当に使えなくなるからな。本当にアホくさい
2017/08/09 17:58:29
neergius
ということなので、パスワードの文字数制限は今すぐなくして欲しい。
2017/08/09 18:02:00
jakiyama
これを厳格に守ってるアホな会社のせいで、半年に一回パスワード変更に出かけなきゃいけないのが辛い。アホに合わせるのが辛い。
2017/08/09 18:04:14
yasudayasu
2003年、米国の業界規格設定を手掛けるNISTの中間管理職だったバー氏は「NISTスペシャルパブリケーション800-63 別表A」を作成。8ページのこの文書は、パスワードに記号や大文字や数字を盛込み定期的に変更するよう勧めた。
2017/08/09 18:06:06
tanakh
知 っ て た (´・_・`💢)
2017/08/09 18:06:42
kei_1010
誰か、アホな銀行のIT担当者に教えてやってくれ。俺は1度も銀行のパスワードは変えてない。
2017/08/09 18:07:34
amino_acid9
日本だと定期変更&文字数制限(それもかなり短い)の最悪な組み合わせは金融系という最も重要なサイトが率先して実践してるイメージ
2017/08/09 18:09:34
jojojojoen
銀行よ、アリバイセキュリティはもう辞めよう。
2017/08/09 18:10:50
iyoshizai
パスワード文字数上限をなくしてくれ
2017/08/09 18:11:21
instores
ビックカメラみたいなワンピースがかっこいい。
2017/08/09 18:15:03
unagiga
パスワードを定期的に変更させる事を強要するせいで、覚えやすい簡単なパスワードにするという悪循環は確かに存在する
2017/08/09 18:16:02
gowithyou
あの複雑なパスワードの設定はセキュリティ目的じゃなくて、管理者の責任回避のためにあるものだから、少なくとも日本では変わることはないな。
2017/08/09 18:17:49
nabe1121sir
パスワードの桁数制限はマジで意味不明。どことは言わないが、どこかの映画予約サイトはおそらくクレカを扱うのに4桁⁉️だぞ。しかも数字だ。KINEZOヤベー。
2017/08/09 18:19:33
hiby
ほんまパスワードの定期更新だけは害悪だし無意味に制限かけてるところも最悪だしなんとかしてくれぇ
2017/08/09 18:19:43
fb001870
なるほど
2017/08/09 18:19:57
ichiroc
是非世の中に浸透してほしい
2017/08/09 18:21:38
hondaP
パスワード変更ほんとめんどくさい
2017/08/09 18:21:52
kitaj
もっと言ってくれ!
2017/08/09 18:22:24
atsu10
この事実、もっと広がってほしい。 そしてパスワードリセットで悩まされる管理者が減りますように。
2017/08/09 18:23:46
Haaaa_N
定期変更や無闇に長いパスワード意味ないって言ってもやる人居るよねえ
2017/08/09 18:24:15
yetch
2000年問題と同じレベル
2017/08/09 18:25:03
wow64
何十文字もの長いパスワード強要するなら入力欄の●●●伏字やめてくれないかな
2017/08/09 18:25:42
larker
定期変更を止めるのを早く普及して欲しい
2017/08/09 18:27:49
numpad0
パスワードって短くて弱いものに設定するか間に管理ツールを挟むか物理的な承認用デバイスを使うかしかなくて、適切な強度かつ覚えられるパスワードを選ぶ選択肢はないと思うんだけど、後二つの展開は中々難しいよね
2017/08/09 18:28:31
siina9
「この作業、本当に意味あるのかな?」って思いながらやる作業はだいたい意味ない説
2017/08/09 18:29:13
sushisashimisushisashimi
知ってた
2017/08/09 18:31:44
lenore
数字のみ4文字の暗証番号の脆弱性についてはどう?
2017/08/09 18:33:18
frkw2004
手書きの入力が普通になれば、パスワードはサインによるグラフィカルなものにすればいい。
2017/08/09 18:33:20
myrmecoleon
これのせいでどれだけの人が苦しめられてきたか。はやく日本でも普及して欲しい。
2017/08/09 18:37:36
twatw
Pマークさえ無ければパスワードの定期変更なんてしないしそんなことしてる暇があったら6文字とかのパスワード許容するのとっととやめよう
2017/08/09 18:41:04
fukken
いまだにパスワードを使いまわしているアホが減らない不思議。「アンチウイルスを入れていない」よりセキュリティリスク上だぞ
2017/08/09 18:42:55
Urahito
あのパスワード規則、実は失敗作だった
2017/08/09 18:43:32
lovevoiceryu
インターネットバンキングなどのパスワードは最大文字列長で自然言語として無意味なものをソフトで生成している。自分でも覚えていない。逆に乗っ取られてもかまわないサイトのパスワードは平気で使い回しをしている
2017/08/09 18:46:44
blueboy
既出:《「パスワードは見てもわからない無意味な言葉にする必要がある」という発想が、根源的に間違っている。》→ http://j.mp/2fsfJJD 《 珍しい固有名詞を使う。 》《 日本の身近な人名を含む語句。》 http://j.mp/2uFmVUs
2017/08/09 18:48:13
arukizuki
特殊文字入れるが的外れって、このために時間をどれだけ無駄にしたか
2017/08/09 18:55:35
qtamaki
全システムはパスワード定期変更を今すぐやめるべきだ!パスワードの文字数を13桁以上にすれば殆ど破れない
2017/08/09 18:56:32
kknnddPP
パスワード変更とか意味ないよね、ゼッタイ!
2017/08/09 18:57:30
tanimiyan
この話はもっと広く広報されてほしい。とにかく今市中に出回ってるパスワード管理ポリシーの多くは負荷を上げるものになっている
2017/08/09 18:59:03
htnmiki
こんだけ定期変更は意味ないと言われてるのにまだやらせるうちの会社終わっとるな
2017/08/09 19:01:30
hanamichi36
同一のアカウントを複数人で使う場合にはパスワードの定期変更は意味あるんだけどね。昨今のネットだとあまりそういう想定はされなくなってきてるけど
2017/08/09 19:06:52
point2000
>今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている ほんとこれ。「UnkoBuriBuri」みたいなパスワードの方が絶対いいよね
2017/08/09 19:14:59
n_pikarin7
ひらがなカタカナの国だったら、最初から使える文字が多い分、文字数増やすとは考えなかったかもしれないな。
2017/08/09 19:16:42
hotelsekininsya
どことは言わんけど、小文字に大文字と数字を混ぜろとか、サービスごとに違うルールにされたら覚えらんないんだよ!
2017/08/09 19:18:58
uehaj
もう遅い。どんだけ多くのシステムがこの仕様ですでに作られているか。それらがすべて死ぬまでにいったいどれぐらいかかるのか。
2017/08/09 19:20:25
hiroponz
パスフレーズを使うようにポリシーを変更しよう
2017/08/09 19:21:47
tockthey
辞書登録されて実在する単語は微妙に解析される確率上がりそうだけど、そんな攻撃は今どき誰もしてないのかな。パスワード捨てた認証はよ
2017/08/09 19:26:18
kabacsharp
パスワード認証やめようよ
2017/08/09 19:28:35
ystt
ウウウ、オアアー!!
2017/08/09 19:28:58
september36
複雑で短いものより、パスワードは覚えやすく長いのに設定するといい
2017/08/09 19:29:34
kokorosha
パスワードの定期変更だけど、無意味とわかっても、このあと、世界で日本だけが取り残されて運用しそうな予感がする。「セキュリティ対策をがんばってます」的な根性マニアにとっては魅力的でやめられないと思う。
2017/08/09 19:30:28
cybo
率直に誤りを認めるのはすごいなぁ. // パスワードを入力する際に, クリップボードからのペーストを制限するサービスは滅ぶべし. パスワード管理ソフトで自動生成した長いパスワードを手打ちする時の不毛感ときたら….
2017/08/09 19:35:28
lvseven
期限が来たからパスワード変えてね!→数字を入れてね!大文字も!記号も!あ、その記号は使えないよ!→それ前に使った奴じゃん、ダメー!→死ね
2017/08/09 19:40:16
sugimo2
“今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ”
2017/08/09 19:46:34
c-miya
安全より安心、みたいな感じで定期変更とか残っていくんだろうなぁ。
2017/08/09 19:49:08
moerrari
パスワード変更は盗まれた疑いがある場合のみでよく定期的な変更は不要で単語4フレーズの方がそれより短い全種類の文字を使ったパスワードより破られにくい。考案者がそれら従来の方法は間違いだったと明らかにした
2017/08/09 19:50:36
yto
世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べている。
2017/08/09 19:51:15
airj12
早く広まって欲しい、PW定期変更対象が3つ超えたら複雑なPWにするのは人間には無理
2017/08/09 19:54:57
pgpgmoismoisu
そうだったのか
2017/08/09 19:55:09
BritanJP
“NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。”←定期的な変更に意味がないwww
2017/08/09 19:58:36
kikinight
ぜんぶ生体認証にしてくれ。
2017/08/09 20:00:02
technoto
はてなはどうだったっけ
2017/08/09 20:01:13
itouhiro
「90日ごとのパスワード変更は小幅な変更にしがちで意味なし。変更必要なのは盗まれた兆候ある時だけ。数字や記号を組み合わせるのも的外れだ。単語を4つ並べた方が、短い奇妙文字列よりもハッカーには破りにくい」
2017/08/09 20:02:39
do7be
“「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある。”
2017/08/09 20:06:39
kkobayashi
せやな。人間が複雑なパスワードを覚えることは不可能なのだ
2017/08/09 20:10:36
eax
“ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。”<--ここ重要 UFJダイレクトでは定期的なパスワード変更を勧めてくるけど...
2017/08/09 20:12:48
ahomakotom
毎日玄関の鍵を変えても、泥棒は五分で仕事をする。
2017/08/09 20:12:59
hobo_king
理論的にはセキュアなパスワード作成規則と変更規則であっても、およそ非論理的な人間種にとっては理想のセキュリティ対策たり得ないというお話。
2017/08/09 20:19:10
tick2tack
失敗事例として。世界レベルで影響があるような失敗とか大変だなー。
2017/08/09 20:21:39
RRRQ
はい。
2017/08/09 20:25:29
yoko_yoji
パスワードが安全であることより、PマークやISMS準拠の方が大事なんだからしゃあなし。
2017/08/09 20:27:17
victoriaxxx
パスワードワンピース、可愛い
2017/08/09 20:29:51
ore_de_work
12345678
2017/08/09 20:33:07
lightcyan
うちの会社は3ヶ月でPW変えないといけないし1ヶ月前から変えてくれメールくるから最長で年の1/3はPW変えろメールを受けてるし、10文字以上は黙って切り捨てみたいなシステムも使ってるし、良い加減にしてほしいw
2017/08/09 20:35:41
tienoti
Web普及期の認証方法が身近なディバイスとしてのPC文字入力だっただけ。iPhoneの端末自体は指紋認証+Webサービスはワンタイムパスワードのアプリのように、今後も求められるのはより安全かつ身近なハードでの何かでは
2017/08/09 20:39:00
shima7
我々は苦労してパスワードを変更してきたのに若いモンがパスワード変更しないで良いなんて許せん!!!
2017/08/09 20:41:27
Valhalla
パスワード管理の今昔
2017/08/09 20:42:26
tsubo1
エアコンの設定温度28度はテキトーだった、って話もあったが、こういう風に間違いを認めるのはいいことだと思う
2017/08/09 20:43:37
taka37564
何枚もの画像の中から指定されたものをクリックさせるやつ、見えていてもどれがそれかわからんことが多い。崩れたアルファベットを読み取るやつも、崩れすぎていて読めなかったり。
2017/08/09 20:44:49
synonymous
バイト数にとらわれなくなった時代
2017/08/09 20:45:13
botp
長いと長いで入り切らなかったりするしな~/一度使ったPWを断られるって、PWの履歴を保存してるってことになるんですかね
2017/08/09 20:49:50
Katharine_15
単語を使うことを前提にされた場合もそうなの?と思ったけど、文字の種類数と単語の種類数を考えればそうなるか。
2017/08/09 20:56:14
mongrelP
正直漢字使えるようにするだけでかなりセキュリティ的には良くなると思うんだが(無論文字数増やすのも欲しいけど)、なんでみんなアスキー文字列縛りなん?ユニコードでまわしたい。
2017/08/09 20:58:57
degage122
とにかく長い文字数ならば、そのなかに、特殊文字などは必要ない。しかも、破られる兆しがないのならばパスは変更する必要すら、ないという。これは驚き
2017/08/09 21:01:12
nekonyantaro
いわゆる汎用機の時代、システム的に8バイト以内という制限があった時の思想の名残ではないか。
2017/08/09 21:05:54
nilnil
抄訳だけど有難い。略された部分見るとパスワードの実態調査できずに1980年代中頃のホワイトペーパーにあたったとあるが、Green BookやFIPS PUB 112の事か? / ISMSやPマークに文句言ってる人、攻めるならJISじゃなくてJIPDECな。
2017/08/09 21:08:11
a96neko
ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけでいいのね
2017/08/09 21:08:28
hotu_ta
知ってた
2017/08/09 21:09:13
mogemura
いろんな意味で脆弱ドレスが破られちゃう
2017/08/09 21:11:26
hyperash
やはり「健康と美容のために、食後に一杯の紅茶」で何も問題なかったんや。
2017/08/09 21:14:05
suzukiMY
『「Pa$$w0rd」や「Monkey1!」といった広く使われる不格好なパスワードを大量に生んだ。「1万人の人が使っていたら、本当にランダムではない」。改定版には、期限のアドバイスはなく、特殊文字を必須条件にしていない。』
2017/08/09 21:17:49
tzk2106
定期的な変更を促す全てのサービスやアプリケーションに即お知らせして欲しい…
2017/08/09 21:19:21
yomo_w5_3
"規則のせいでパスワードが覚えにくい" 記憶を外部化しIT端末に生活を託す現代人が現れず、親族友人職場のプロフは暗記して当然という20年前の思考の人が主流だったら、問題が今ほど重大化しなかったかもという想像も
2017/08/09 21:21:36
tekitou-manga
もっとはよいえよ
2017/08/09 21:22:59
wtatsuru
自由律短歌みたいなやつでいい
2017/08/09 21:31:04
madridNewyork
パスワードをペーストできないサイトも滅んでほしい
2017/08/09 21:34:55
Rion778
"いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」"
2017/08/09 21:39:41
lainof
一般的な英単語の4つだと、英数字記号11文字より組み合わせ少なくない? 大学受験レベルを超える一万語から選ぶとしても全然少ないから、特殊な単語や記号を含めないと辞書攻撃には弱そう。
2017/08/09 21:41:47
quwachy
知ってた
2017/08/09 21:43:34
nezuku
これがNISTから日本ではIPAあたりが周知して、あとはPマークの要件にこれに反する謎な制約があったらそれを撤廃して…なのだろうなぁ
2017/08/09 21:46:06
qouroquis
うちの会社の情報システム部門の脳たりん共に小一時間説教して欲しい。
2017/08/09 21:47:41
hujiwaratatsuyaga
えっ
2017/08/09 21:51:35
sakidatsumono
うちの会社の情シスに言ってやれ!送りつけてやる!
2017/08/09 21:53:31
fops
記号を混ぜるとかより単語の組み合わせでも長い方がよい。記号と数字を組み合わせた定番のパスワードはたしかによく見る。
2017/08/09 21:59:50
shimooka
やっと来たか、って感じ
2017/08/09 22:02:14
ohaan
利便性無視のセキュリティ強化に走る企業が増えて、逆にセキュリティがいい加減になる原因だったな。
2017/08/09 22:03:51
denilava
人間性を無視した規則を人間に適用しても人間は規則の隙間で生活するという実態を考慮していなかった例。「変更しろしかし忘れるな」と言われれば1文字だけ変更するのは当然の効率的行動でありかつ脆弱性である。
2017/08/09 22:12:50
midnightseminar
でも自然言語は辞書で組み合わせの空間を狭められるから、それを推奨するのも変な気はするけど
2017/08/09 22:15:04
xev
パスワードの上限桁数8桁とかにするの意味判んないんだけど。下限なら判るけど。
2017/08/09 22:16:03
kaos2009
[数字・記号・大文字の組み合わせ、2003年に考案した人物が後悔
2017/08/09 22:19:15
nisisinjuku
全部生体認証で済むようにしてくれ…
2017/08/09 22:19:30
masha444mo
えー
2017/08/09 22:25:10
udongerge
そんな気はしていた
2017/08/09 22:26:57
shinichiroinaba
ほへ
2017/08/09 22:28:29
userinjapan
https://pages.nist.gov/800-63-3/
2017/08/09 22:34:21
typex2
徹底的に容赦無く滅多斬りだねw ('ω')
2017/08/09 22:42:07
mekemon
某ECサイトは2週間に一度変更&3つ前まで似たパスワードは使えないので5個ぐらいをテキスト保存して使い回すハメになった。
2017/08/09 22:47:42
kuronecox
パスワードは失敗作
2017/08/09 22:48:44
TRON
Pマークはとっとと改訂しろ
2017/08/09 22:51:38
RPM
絶対に覚えられないような、クソ長い大文字小文字数字記号の羅列を定期的に変えろという無茶な要求は意味がなかった、という話。
2017/08/09 22:55:12
yutaka_maruoka
はやく世界に浸透を。
2017/08/09 23:01:44
zu-ra
パスワード忘れちゃうから変更求められたらすぐに元に戻してる。意味ないよね。
2017/08/09 23:10:15
reliphone
パスワードの定期変更は意味が無いというのが、ちゃんと現場まで浸透してくれるまでどれくらい掛かるだろうか。
2017/08/09 23:14:28
hatest
パスワード規則とかいうバズワード
2017/08/09 23:17:16
ko2inte8cu
アホやな
2017/08/09 23:17:33
Palantir
セキュリティの規格として、制度が更新されないのはセキュリティ上どうなのさ
2017/08/09 23:18:58
cocoronia
ならばパスワードの文字数制限を撤廃してくれ
2017/08/09 23:19:03
triggerhappysundaymorning
辞書に載ってる単語(だけ)でパスワード作ったら完全にランダムな同じ長さのパスワード「よりは」推測簡単に成らないかな?本当の意味での辞書アタックとか有効じゃない?(じゃない?
2017/08/09 23:27:54
atsupi0420
この件はかなり前から言われているけど、ちっともポリシーを変えないどこかの会社は、本気でバカじゃないかと思う。いつまで付き合うべきなのだろう?
2017/08/09 23:34:01
narwhal
「人々は怒り狂ったうえに、何をしても良いパスワードを得られなかった」
2017/08/09 23:38:35
hyperpeppy
「パスワードは複雑じゃないとダメっていうから、忘れないようにメモしてるの」って言って、パスワード書いた付箋をモニターに張ってる人をたくさん見た
2017/08/09 23:39:58
ume-y
“パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい”
2017/08/09 23:42:26
moyacab
辞書単語+記号で接続 がよい。というか好き。メアドを反転させるだけでも、強力。hatena.ne.jp@moyacab<birthday> なんてパスワード、総当たりじゃ絶対無理クリアできないし、ほかにいったほうがよい。
2017/08/09 23:42:28
primedesignworks
パスワードよりバズワードの方が興味あります。
2017/08/09 23:44:21
adsty
数字や記号の短い寄せ集めでは弱い。英単語を並べた長い文字列の方が強い。
2017/08/09 23:49:17
wthirow
本人が確認できればいいんだから生体認証が完璧にできればいいんだけど、細胞ってのは数か月で入れ替わってしまう。何を根拠に本人とすればいいのやら。
2017/08/09 23:59:58
gui1
どんまい(´・ω・`)
2017/08/10 00:01:45
todays_mitsui
この件、いまも余波で慣習や奨励と個人的に戦ってる。根本的に「パスワード」に代わるブレイクスルーが待たれるとこだけど。
2017/08/10 00:03:43
Knoa
どうせハッシュ化すんのにパスワードに文字数制限をかける意味がわからんのだよ。アホかと。ポテトかと。
2017/08/10 00:11:42
s_nagano
“いま世界に広まりつつある改定版にはパスワード期限のアドバイスはなく特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず「使い勝手に悪影響を与えた」とグラッシ氏は述べている”
2017/08/10 00:16:03
takeim
Pマークだけでなくて、ISMSも
2017/08/10 00:17:44
ebibibi
もっと広まって欲しい。
2017/08/10 00:18:30
strawberryhunter
定期的に変更する場合は、aaa@1から始めて連番にする。本当に馬鹿馬鹿しいね。
2017/08/10 00:19:05
keisuker
英検5級で300の英単語を使うらしい。4つ並べただけでも300×300×300×300通りの組み合わせになる。なるほどね。
2017/08/10 00:26:01
snobbishinsomniac
文字数は長くできてスペースが使えるとか記号の制限がないとかだと助かる。
2017/08/10 00:35:14
takazoom
世の中のサービスはまあいいとして、会社の情シスはこの程度の知識は仕入れといてほしい。
2017/08/10 00:36:08
von_walde
「ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。」
2017/08/10 00:46:39
lbtmplz
これのお陰で大量のWEBサイト葬られた…
2017/08/10 00:48:25
mohri
いいはなし
2017/08/10 01:00:06
lapk
パスワードに関するダルすぎる慣例多すぎだよな
2017/08/10 01:18:31
Sarutani
後半でフォローされてるけど、どれだけ周到なルールを作っても運用するユーザーが雑に扱ったら意味ないよねって話だと思うんだ。
2017/08/10 01:24:01
ll0oo0ll
エニグマも前線の兵士が雑に扱ったせいで解読されてたな
2017/08/10 01:28:55
sgo2
某証券は携帯サイト(普通にPCから入れる)のログイン専用の数字をログインPWと別に追加できる上に、一旦追加(有効化)すると無効化できないというクレイジー極まりない仕様をさっさと直して欲しい。
2017/08/10 01:39:23
Kmusiclife
まぁ、ひらけーごま!みたいなもんすよ。ごまか塩か。
2017/08/10 01:50:05
s15i
ヒトの発想で「ありそうな」文字列が危ないと考えて記号混合・定期変更を推奨していたのが、むしろ、マシン/ソフトによる力技総当たりのほうに警戒したほうがいいって分かったってことなのかな? クラック手法の変化
2017/08/10 01:59:24
aquos12345
クライアント証明書だよね~今は。
2017/08/10 02:03:38
marmot1123
今ではパスワードマネージャーで20文字以上乱数生成するようにしてからイライラがだいぶ減ってきたが、時々文字数上限が16文字とか、使えない記号があるとかで生成時にイライラすることが多い。8文字とか滅びろ。
2017/08/10 02:50:02
py0n
早く浸透して欲しい。
2017/08/10 03:33:56
foobarchocobo
特に入力文字数に制限を設けていないのにこっそり16文字で切り捨てていた世界最大手の某国販売サイトや、先々月くらいのバージョンまで登録した文字数を受け付けない電子書籍アプリの製作も滅んで欲しいのですが
2017/08/10 03:57:50
kazuya53
最近は文字数が多ければそれでいいって流れになってるね。8文字パスのサービスとかハッキングしてくださいって言ってるようなもの。
2017/08/10 04:54:09
krurun
最善は記号文字組み合わせなんだろうけど、それより単語組み合わせで文字数伸ばした方がましって話なのかな?
2017/08/10 05:28:27
fumisan
ポリシー変えないとねぇ
2017/08/10 06:19:54
arajin
「単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい。文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためだ。」
2017/08/10 06:23:19
n_y_a_n_t_a
何も信用できない。
2017/08/10 06:39:13
monochrome_K2
規則というか過剰な制約を設けることで最適化の意識が強まり却って逆効果だったということか。でも日本はエビデンス社会だから追従するかどうかは微妙かも知れない
2017/08/10 06:40:14
pmint
これは何も考えずに受け入れたほうが悪い。ちょっと考えれば分かること。そもそも本人が覚えてないパスワードで本人確認できるわけない。
2017/08/10 07:09:15
namihei2017
まじかよ
2017/08/10 07:10:32
habarhaba
好きな小説の一文+辞書に無い単語をローマ字でパスワードにしてたけど正解だったのか
2017/08/10 07:30:44
inayoshi1744
パスワード規則
2017/08/10 07:30:57
ewiad420
4つの単語、それも英語、ドイツ語、日本語など複数の言語から選ぶと辞書アタックにもかなり強そう。区切り文字もいろいろ変えてみたり
2017/08/10 07:34:53
progrhyme
数字や記号を混ぜた短いパスワードより、英単語を4つ並べた長いパスワードの方が強い
2017/08/10 07:42:12
IGA-OS
影響範囲の広さ。
2017/08/10 07:45:09
toshiyukino
パスワードの定期更新と文字制限ってリスクしかないから止めてほしい…
2017/08/10 07:54:51
uturi
“今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。” 長い文字列の方が結果的には安全なのか。
2017/08/10 08:03:52
topiyama
勤務先のISMSのルール改定されて、システム更新されるの何年後かなぁ
2017/08/10 08:05:02
tolkine9999h
未だにたまにある奴で、最低最悪なのが八文字制限のパスワード。
2017/08/10 08:25:42
yantzn
連番にする運用してる人がどれだけいることやら…
2017/08/10 08:27:36
gebonasu30km
ヨドバシの紙袋かよ
2017/08/10 09:07:38
uchya_x
Apple Watch使うようになってから、個人持ちのMacの認証はそっち任せになった。再起動の時くらいしか使わない。
2017/08/10 09:11:58
ritek
日本からは無くならないだろう定期更新
2017/08/10 09:17:05
duyty1
確かに日本人はこの辺の危機管理が甘い気がする。
2017/08/10 09:21:29
pandaisukikun
手間がかかるほど品質が良いという信仰を持つ日本人には、この手の無意味なセキュリティ規則は上司にウケがいい。このパスワード規則は日本では大成功したといってもいいし、今後50年は使われることになるでしょう。
2017/08/10 09:24:01
orangehalf
文字の組み合わせの複雑さより文字の長さが重要なのね。とりあえずリスクしか生まないパスワードの定期更新だけでも死んでくれないだろうか
2017/08/10 09:28:00
ohesotori
「盗まれた兆候」なんかわかんないでしょ
2017/08/10 09:28:07
rafi02
https://nianow.com/carolina-panthers-vs-houston-texans-live-stream-nfl-online
2017/08/10 09:29:39
powerhouse63w
大文字小文字の8文字は小文字10文字以下、大文字小文字の12文字は小文字15文字以下か。記号込み95種の文字を使ったとして8文字は小文字のみの12文字以下。
2017/08/10 09:43:25
shidho
パスワードの定期変更が会社間の取り決めでポリシーになりそうになって、あわてて止めたところだが定期変更を盛り込んだ方はこの辺の話まで把握していないらしい。
2017/08/10 09:58:44
mskn
「おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。」
2017/08/10 10:01:03
sanzyoudori39
パスワードソフト使ってます
2017/08/10 10:01:46
strbrsh
いつまで定期変更させられるの
2017/08/10 10:09:48
neji_shiki
時代や時代。それで保った時代があったし、今はそれじゃ保たなくなっただけ。まあ新しいのが浸透しきるかはまた別
2017/08/10 10:15:15
yochannel
人が自分で考えた方が分かりにくいって、 なんかPCに勝った気分w
2017/08/10 10:23:09
YassLab
“「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある。”
2017/08/10 10:27:22
AKIMOTO
“改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏”
2017/08/10 10:32:56
chihaya9636
日本だけではないから問題である。海外メーカーさんも定期的変更求めてるしな。
2017/08/10 10:35:58
mmorita44
乱数ジェネレーター利用するべき。https://news.ycombinator.com/item?id=14967731
2017/08/10 10:48:58
Dai_Kamijo
“改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏” / “あのパスワード規則、実は失
2017/08/10 10:57:31
oakbow
パスフレーズはどうなんだろう。言葉じゃなく文章にしてしまう方。あと、マルチバイト文字が使えたら格段に強度上がりそうだけどな。
2017/08/10 11:04:25
noonworks
“使われやすいパスワード500種類を盛り込んだドレス”これいいなぁ。Tシャツにして出してくれないかな
2017/08/10 11:14:52
richard_raw
「『correct horse battery staple』を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、『Tr0ub4dor&3』は3日で破られる可能性がある。」
2017/08/10 11:29:00
esper
すごい
2017/08/10 11:45:42
mabots
今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。
2017/08/10 11:48:59
tbpg
3回誤ったのかな "氏が自分を少し責めすぎ"
2017/08/10 11:56:42
FeZn
だいぶ前から、一定の規則に従ってサービス毎に作る「妙な短文」にしてる。けど、ある意味では単純だからなぁ。そろそろ要再考かも。
2017/08/10 12:42:30
sawaken55
いい加減これなんとかなって
2017/08/10 12:47:32
zu2
“人類が1日にパスワード入力に費やす時間が計1300年相当を超えている" "バー氏は、自身のパスワード規則で「人々は怒り狂ったうえに、何をしても良いパスワードを得られなかった」と話している”
2017/08/10 14:26:46
pg_life
パスワード管理ソフトを使って長めの乱数を使うようにしている。
2017/08/10 14:40:49
prdxa
クソ野郎が
2017/08/10 15:10:59
june29
生きている間に間違いを認めるの尊いと思う。この見解がちゃんと広まってほしい。
2017/08/10 16:22:25
ikurii
何が有効なのかは時代とともに変わるのでは。今有効と思われてるパスワード規制も時間がたてば失敗と言われるかもしれない。
2017/08/10 16:38:20
PHILOSOPHIA_SOCIETY
このような失敗を世間に伝えてくれることは、大切なことに思う。
2017/08/10 17:17:13
pochi-p
発案者すら否定!! ISMS/Pマークは「次回更新時廃止します」「現行の認証済み環境も、定期的変更は止めて結構です」を今月中に宣言しないと永久に信頼されないよ?
2017/08/10 18:20:41
saharamakoto
【再通達】 #京都銀行 の担当へ
2017/08/10 20:11:32
gogatsu26
“カーネギーメロン大学のロリー・フェイス・クレイナー教授は、使われやすいパスワード500種類を盛り込んだドレスを作った。これを着て2015年のサイバーセキュリティー会議に出席”
2017/08/10 20:38:15
kamezo
「あのパスワード規則」=パスワードに記号や大文字や数字を盛り込み、定期的に変更するの規則。それより、おぼえやすい英単語を3つ4つ組み合わせて文字数多めにする方がよいと。
2017/08/10 21:59:18
souvenir038
90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半。単語を並べ文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなる。
2017/08/11 05:40:52
raitu
「「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない」
2017/08/11 08:05:17
chanoman
パスワードの桁数増やせって言ってるところが日本人らしいな。パスワードなんて何桁でも良いから2段階認証を義務化した方が良い
2017/08/11 13:29:02
agrisearch
「NISTスペシャルパブリケーション800-63 別表A」「今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ」
2017/08/11 18:49:57
tym1101
破られてもないのに家の鍵を3ヶ月に1回交換する人はいないですよね。だけど、単語の羅列の方が強いというのが疑問で、辞書アタックがあるからダメと言われてた気がするのですが。
2017/08/12 02:47:37
fake-jizo
パスワード管理に関する有名な冊子の執筆者ビル・バー氏(72)は、あれは失敗作だったと告白している。 Tags: via Pocket
2017/08/12 21:58:03
pismo
タイトルだけ読むと誤解する人がいそうだけど、要するに「定期変更を勧めたのは間違いだった」って事。情シス時代にも定期変更を勧めたことは一度もないね。
2017/08/13 15:04:19
yukimamafx
パスワードは結局長さが命と・・・大文字小文字とかもうやめてよぉ( *´Д⊂ グスン… あのパスワード規則、実は失敗作だった @WSJJapanさんから
2017/08/13 23:53:34
blueribbon
・いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない ・人類が1日にパスワード入力に費やす時間は計1300年相当を超えている
2017/08/14 10:47:58
shino-katsuragi
後悔していると。
2017/08/14 11:06:14
lets_skeptic
パスワードルールの国際基準は多くがNIST SP 800-63を参照してルールを決めることになっているので、やっとNISTが変わってくれたことに安堵(ドラフト版時点で定期変更はなくなっていた)他の基準が変わるのはいつだろう?