「パスワードを紙に書く管理方法は意外と安全」「パスワードの定期的な変更は危険」「記号や数字の混在を義務付けるのはNG」など知っておくべきパスワード知識

2024/09/27 06:10

KoshianX

ブラウザにパスワード保存はNGでスマホ用パスワード管理アプリはOKなのは生体認証があるからかしら。パスキーに移行していけってことではあるのかね

2024/09/27 09:30

nejipico

記号必須なのは記憶できないので本当に困る。毎回パス変更になる。

2024/09/27 09:31

in2

"物理的な紙のノートはインターネットに接続することが不可能…紙に記録されたパスワードを盗むには「現実世界での窃盗行為」という物理的な行動を起こす必要がある"

2024/09/27 09:41

samasan-tabasan

ボクの考えた最強に安全なパスワード管理術でググれw

2024/09/27 10:17

spark7

このへん絶滅しないかな。銀行ですら採用してるしな。「秘密の質問」「パスワードの定期的な変更」

2024/09/27 10:27

mollifier

秘密の質問はやめてほしい。親の旧姓とか昔通っていた学校とか、秘密じゃないし。対策としてパスワードと同じようにランダムな文字列を設定してる。でも、設定自体をなくしてほしい

2024/09/27 10:29

slax

でもそのメモをモニターに貼るんでしょ？

2024/09/27 10:41

kazafe

“NIST”

2024/09/27 10:57

deep_one

「パスワードは紙に書く管理方法は意外と安全」但し、画面横に貼るな。

2024/09/27 11:09

ata00000

以前盛んに言われていた「パスワードより(端末に紐づく)PINの方が安全」もそうだけど、結局なにを危険視するかだからなぁ。子供が親のアカウントでログイン、とかを危険視するなら紙に書いたりPINにするのは不味い

2024/09/27 11:11

higgsino

サービス側もパスワードマネージャーを前提とした設計にするべきだよね。短すぎるパスワード文字数制限とかペースト出来ないパスワード入力欄とか論外

2024/09/27 11:14

stack00

ブラウザに保存しないのも理想ではあるけど、毎回探してコピペしてとなると現実的じゃないな。

2024/09/27 11:16

meowcatwings

あらゆる明細が郵送ではなくオンラインになった今、相続の作業の難易度が高まったのであえて金融系だけはブラウザにPW保存したりしている。追加の認証あるやつに限るけど。

2024/09/27 11:22

tourism55

死後の後片付けという意味では、Google(Gmail)アカウントへのログインパスワードとスマホの暗証番号だけ紙に書いといてくれれば後は頑張れるかな…とは思う。(2FAはSMSかスマホアプリ内のOTPであるとする)

2024/09/27 11:24

mmddkk

「同じ文字を3つ以上連続して使わない」という制約もやめてほしい。「aaaaaaaa」みたいなのを防ぎたいのだろうけど、3つくらいなら連続させたいときあるよね……。

2024/09/27 11:25

xlc

外務省の在外邦人登録システムは3ヶ月に一度パスワード変更を要求してくるが、使うこと自体が年に一回(「帰国してません」の定期更新)しかないというくるったシステム。システム自体には意義があるけどね。

2024/09/27 11:26

soybeancucumber

パスワードといえば、楽天銀行のサイト、一度入力したIDからパスワード、支店コード、口座番号、秘密の答えの全てがテキストボックス内に認証無しに補完されるの、ヤバすぎるからまじでやめろ

2024/09/27 11:37

BUNTEN

最低文字数どころか最大文字数が8文字というところもけっこうあったので、サービス名+みっつくらいの単語の組み合わせという長いが憶えやすいパスワードに揃えることができない。

2024/09/27 11:38

mame_3

スマホの2段階認証が義務のサイトは怖くて使えない。スマホを無くしたら自動的に失効するアカウントなんて無理だ（自分のスマホ管理能力を信じていない）

2024/09/27 11:39

minaminoani

日本語でパスワード作りたい。「寿限無寿限無…」とか…

2024/09/27 11:39

punkgame

ネットにすぐ繋がれる時代においてネットに繋がっていない紙が逆に安全というの面白いな。

2024/09/27 11:44

nakamura-kenichi

最近ようやく減ってきたけど、アホが担当してんか一部企業はまだしつこく「パスワードの変更を」って出しよるからなあ。そうして裏で外部に資料出してたり紛失、窃盗で「データ漏洩のお知らせ」やからなホンマ。

2024/09/27 11:49

kagerouttepaso

スマホ組み込みとパスキーは懐疑的だな。プラットフォームに認証を人質に取られている。パスキー移行をどのプラットフォームも実装しない今、パスワード管理は独立したソフトを使うべきに思う。

2024/09/27 11:50

Sakana_Sakana

大切なのはパスワードマネージャを利用する事じゃないかな

2024/09/27 12:05

NOV1975

今やパスワードの定期変更が有効なのはすでに漏洩していたり定期的に漏洩していたりする組織においてなので、自分たちの脆弱性をアピールしている

2024/09/27 12:06

shufo

紙のノートにしたら結局記号数字混在と同じように煩雑性からパスワード使いまわしのリスクが高まるのとシンプル利便性が最低レベルに落ちるのがね

2024/09/27 12:07

honma200

“NISCは「離席時に他人にパスワードを利用される」「パソコンをクラッキングされた際に根こそぎ盗まれる」という危険性からブラウザのパスワード保存機能を使わないよう” 最近のソフトは生体チェックするのはこれか

2024/09/27 12:08

houyhnhm

ブラウザの自動補完機能理解してない人もいるみたい（補完はサイトの機能じゃないよ）。スマホの場合は個人使用が明確で認証ロックつきだから、PCは監視だとかでキーロガー会社で仕込まれがちだし。

2024/09/27 12:20

kudoku

大文字とか記号を要求するサイトはパスワード入れる欄にもその旨書いといてほしい。思い出すきっかけになる。

2024/09/27 12:22

hahihahi

パスワードマネージャを使わせまいとして既存のパスワードを入力する所を autocomplete="new-password" にしてるテストしてないアホも消えてほしい。

2024/09/27 12:31

ku__ra__ge

紙は安全でも多くのサイトで異なるパスワードを管理しようとすると破綻するから、必然的にパスワード使い回しが発生する。パスワードに記号を義務付けるのと同じ理由で駄目でしょ。

2024/09/27 12:38

ton-boo

ユーザがパスワードを定期的に変更すること自体は別に危険ではない。その結果パスワード管理がいい加減になったら危険。そういう危険を招きかねないサービス提供側定期的変更を強制するのはNG。

2024/09/27 12:44

cl-gaku

利用者の側から変更のお知らせ出してくれという要望あるという話もあるから地獄やで。NHKニュースとかのレベルでそういうサイトはカスと啓蒙してくれ

2024/09/27 12:45

craftone

“ブラウザのパスワード保存機能を使わないように呼びかけています” うーん、めんどくさいな…

2024/09/27 12:53

hibiki0358

そんなことより、このご時世的なのに、未だにパスワードは6桁までとか、記号は使えないとか、それどころか大小英文字のみとか、アホな仕様のサイトは何を考えてるんだ？

2024/09/27 13:29

aosiro

ブコメにもあるけど日本語使えたらだいぶ楽になるし安全度も高まると思うのだけど、まぁないわな

2024/09/27 13:40

moerrari

「秘密の質問」の答え、仕方が無いのでランダム生成した文字列を全角にして登録している(半角文字を入力するとエラーになったので)

2024/09/27 13:48

blueboy

「秘密の質問」は、パスワードの代わりではない。登録されたメールアドレスに、再登録のコードを送るだけだ。他人がなりすましても、メールアドレスを乗っ取られていなければ大丈夫。そっちの心配をしろ。本末転倒。

2024/09/27 13:52

hiroshe

総務省はブラウザに保存するのを勧めてるんだが。www.soumu.go.jp

2024/09/27 14:04

dusttrail

秘密の質問、どの質問でも一番上の質問を選んだうえで全然関係ない言葉を答えるようにしてるんだけど、たまに登録時より質問を増やして順番も変えちゃうサイトがあって、質問を正解できなくて困る。

2024/09/27 14:32

porquetevas

法人向けのアカウントで秘密の質問を設定させられたのはブチ切れそうになった。親の旧姓や初めての海外旅行先って代表者のかよ？？それとも利用する社員の？？あほか

2024/09/27 14:44

zkq

秘密の質問はマジで死ねよって思う。いちいち覚えてねえんだよ。パスワードがペーストできない。パスワードマネージャーが認識できないのもやめて。

2024/09/27 14:49

nijitaro

秘密の質問用の飼っていないペットの名前がある

2024/09/27 15:06

qawsklp

PCのローカルディスクにメモ帳で管理しとくのがワイがPCを使い始めてからずっと通用している方法....

2024/09/27 15:29

rdlf

マジックリンクにしてほしい。メールアカウント乗っ取られたら知らんけど…

2024/09/27 15:56

takeishi

もちろんモニターに付箋で貼っては駄目だが、鍵のかかる引き出しにしまうのは有り

2024/09/27 16:12

tohokuaiki

クレジットカードのセキュリティコードもカードに書かれてるけど、「カードにセキュリティコードが書かれていることが原因で不正利用されたことはない」んだよね。

2024/09/27 16:27

mohno

「NISCは、パスワードの安全な管理方法として「物理的な紙のノートに書いて保管」「スマートフォン用のパスワード管理アプリに記録」という方法を推奨しています」←もう15年以上前に聞いた話なんだよな。

2024/09/27 16:45

rokkakuika

もう時効だろうから書く。海外勤務時にかつての上司が「パスワード：亜怒民」とPCに付箋をつけて管理していた。外国人には漢字が読めないだろうといって。部下は誰も指摘できなかった。

2024/09/27 16:56

koseki

安直にパスキーを薦めない、ということも言われてほしい

2024/09/27 17:19

n314

“「パソコンをクラッキングされた際に根こそぎ盗まれる」”Googleアカウントがクラッキングされたらほとんど全てのパスワードがバレちゃう。仕事での資料やパスワード通知とかもGmail。でも便利だから使っちゃう。

2024/09/27 17:42

collectedseptember

紙のパスワードリストを見られるのと離席時にパソコンを触られるリスクは大差なくない？

2024/09/27 17:52

zknf

記号を入れてね！大文字入れてね！8文字以上だよ！P@ssword

2024/09/27 17:55

satokenr

自分は二要素認証があれば必ず設定。パスコードは、覚えられる基本形を個別に異なるルールで変形してる。記憶できるし使い回しにならない。秘密の質問は、SNSのプロフや投稿で推測されない『秘密の質問用回答』がある

2024/09/27 18:07

ikurii

「パスワードの定期的な変更は」企業側の「やってる感」を出すためで、セキュリティ上は害悪。パスワードの変更は、漏洩した可能性がある場合のみで良いと思う。

2024/09/27 18:18

snowcrush

人間の脳のリソースが無限だと勘違いしている人が作ったルール。64桁のランダム文字列を記憶出来る人はいいけどそうでない人が大半なんだから最初から脳に記憶させることは諦めるべき。

2024/09/27 18:24

sakuro

秘密の質問はどんな質問でもランダム文字列で埋めてる。こういうので→apps.hayu.io

2024/09/27 18:53

Kil

他社にITサービスを提供する弊社の社内システムも、そろそろこの最新の基準にアップデートしてくれませんかね。定期的な変更義務付け、記号数字混在義務付け、秘密の質問あり、3アウトですよ、ええ。

2024/09/27 18:58

Goldenduck

秘密の質問、せめて質問を自分で決められないと秘密にならんよな。母親の旧姓なんていくらでも調べられる／ランダムパスワードにしてるんだけど記号使えませんとかでそのままでは通らないことも多い

2024/09/27 19:13

poponponpon

昔関わった開発案件が月一でパスワード書き換えるタイプだった。毎月環境に入れない人が続出して、テスト環境経由せずに実装進めるのが横行してしまった。

2024/09/27 19:16

zgmf-x20a

データサイエンスを含めコンピュータサイエンスか関わるものであれば多分そうだと思うのだけど、管理部門はそれを許さない。/ NISCが一番アホなのではとさえ思う。

2024/09/27 19:27

diveintounlimit

とりあえず脆弱な秘密の質問を強制してくるAppleは滅んで欲しい。

2024/09/27 19:55

nornsaffectio

これ関連は人間の記憶力と行動と心理を一切考慮していない浅はかさに満ち満ちていて、馬鹿じゃないだろうかと常々思っていた。この記事のレシピに疑問もないではないが、せめて愚劣な慣行は即廃止すべき。

2024/09/27 20:00

mionosuke

スマホが指紋認証で開くように、Webサイトでも指紋認証で開けたらいいのに。金融関係とか。

2024/09/27 20:04

syamatsumi

このバッドパターンは管理者側がなんか対策してる気になるためにやっちゃう奴なので、トラブルが起きた際に予見されたモノとして懲罰的賠償でもされないと直らんと思う。特に定期更新と秘密の質問。

2024/09/27 20:42

trace22

なんか誕生日聞かれることが多い気がするんだけどアレもやめて欲しい

2024/09/27 20:46

stabucky

パスワードを忘れたときに秘密の質問の答えの入力が必須という謎のシステムがあったな。覚えてないよ。

2024/09/27 21:00

ikura_chan

いつものやつ作っておいて、サービスごとに冒頭に違うの入れて使ってるけど、大文字小文字数字記号全部入れろとかあって、いつものを全部入れにしなかったことを悔やんでいる（でも時々記号ダメとかもあるよね？）

2024/09/27 21:50

narwhal

「NISCは「離席時に他人にパスワードを利用される」「パソコンをクラッキングされた際に根こそぎ盗まれる」という危険性からブラウザのパスワード保存機能を使わないように呼びかけています」

2024/09/27 21:59

Lhankor_Mhy

日本語パスワードはやめた方がいいよ。IMが変換履歴を記憶するし、type=passwordのフォームはモバイルだと日本語キーボードが使えなかったりするし、使いにくかったよ。普通に長いパスワードとMFAがいいよ。

2024/09/27 23:51

adsty

パスワード一覧を紙に書き出してみようか。

2024/09/28 01:17

nmcli

主に法人ネットバンキング系が今も定期的なパスワード変更を強制してくる

2024/09/28 01:26

pekee-nuee-nuee

紙にアクセスできるならもう物理的に端末にアクセスできるわけで、確かにもう何とでもなるわな

2024/09/28 04:00

ya--mada

パスワードポリシーについての推奨やガイドラインについては誤解が多すぎると思っている。スキルと立場で求められるパスワード管理のレベルが違うので一概にならない。

2024/09/28 04:22

Rikerike

パスワードを紙に書くのはエンディングノートとかで残せたりするので、割といいんだよね。だからこそソーシャルハッキングの恐ろしさがわかるんだが……（ただの一般人ならそんな可能性はあんまりない）

2024/09/29 07:54

jintrick

ブコメの日本語パスワードっていうの面白そうだな

2024/09/29 22:08

altar

適当な洋書の英文をパスワードにすることで、木の葉を隠すなら森の中に隠せ理論でセキュリティ強度を上げることができるのでお勧めです。ただし紛失に備えて同じ本の同じ版が容易に入手可能である必要があります。

2024/09/30 15:22

mas-higa

常々疑問なんだけど、パスワードを忘れるような状況で、秘密の質問を覚えてる人はいるんだろうか? 質問の選択肢 (母の旧姓、小学校など) すら覚えてないんだけど