パスワード15文字以上を扱う運用を、個人でも企業でも考える時代に
“形式的な複雑性が実際の安全性を高めるとは限らず、むしろ利用者に予測可能なパターン(例:「Password1!」など)を選ばせてしまう傾向がある”
記号を利用可能にしてほしいという顧客の要求を長年断ってきたので(最低文字数を長くしたほうが安全)、とても助かる。
長くしたところで、Password1!!!!!!!!とかになるだけ
長さこそパワー?
ところが経産省のサプライチェーンセキュリティ格付け制度案では10文字以上複雑性要件ありとなっていて、弊社の新パスワードポリシーもそれに準拠したものに変わった。無期限になったことだけは前向きに捉えたい。
後ろの!を増やすだけ、というようなことを言う人いるけど、3個増やす人と4個増やす人と5個増やす人に分かれるだけで組み合わせが増えるから有意義なんよ。
「混在ルールを課してはならない」「単1要素認証……最低15文字を義務付け」「最大長については少なくとも64文字を許容」「既知の漏えいパスワードとの照合が正式に義務化」なかなか攻めたなあ。日本で一般化するか?
もうSP800-63B-4に改訂か
ブコメ、強制させることがNGなのであって記号を選択できるようにすることは必要だと思うけれど。
混在の強制を禁止しただけで、混在自体は禁止してない。→“大文字と小文字、数字、記号の混在を明確に禁止”
サイトによって使える記号が制限されてるの、どういう理由なんだろう。わたし、気になります!
文字数とか文字種類の制限がサイトによって違いすぎて、もうすべて異なるランダムで決めるようになったわ。パスワード管理体制を整える手間はあるけど、ストレスが激減した
記号を増やすより1文字長くしたほうが良い話
アンチパターン出てんやから登録時にそれハネたらええだけやと思うが。ってか今時どのOS、ブラウザでも候補出して勝手に覚えてくれんやからそれでええやろって話やでw。
「定期的なパスワード変更の義務付け」こんなの未だにあったのか。某システムでぜったいにやぶられないパスフレーズ100文字を設定したのに、定期的に変更させられてどんどん短くなってった…
「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新
パスワード15文字以上を扱う運用を、個人でも企業でも考える時代に
“形式的な複雑性が実際の安全性を高めるとは限らず、むしろ利用者に予測可能なパターン(例:「Password1!」など)を選ばせてしまう傾向がある”
記号を利用可能にしてほしいという顧客の要求を長年断ってきたので(最低文字数を長くしたほうが安全)、とても助かる。
長くしたところで、Password1!!!!!!!!とかになるだけ
長さこそパワー?
ところが経産省のサプライチェーンセキュリティ格付け制度案では10文字以上複雑性要件ありとなっていて、弊社の新パスワードポリシーもそれに準拠したものに変わった。無期限になったことだけは前向きに捉えたい。
後ろの!を増やすだけ、というようなことを言う人いるけど、3個増やす人と4個増やす人と5個増やす人に分かれるだけで組み合わせが増えるから有意義なんよ。
「混在ルールを課してはならない」「単1要素認証……最低15文字を義務付け」「最大長については少なくとも64文字を許容」「既知の漏えいパスワードとの照合が正式に義務化」なかなか攻めたなあ。日本で一般化するか?
もうSP800-63B-4に改訂か
ブコメ、強制させることがNGなのであって記号を選択できるようにすることは必要だと思うけれど。
混在の強制を禁止しただけで、混在自体は禁止してない。→“大文字と小文字、数字、記号の混在を明確に禁止”
サイトによって使える記号が制限されてるの、どういう理由なんだろう。わたし、気になります!
文字数とか文字種類の制限がサイトによって違いすぎて、もうすべて異なるランダムで決めるようになったわ。パスワード管理体制を整える手間はあるけど、ストレスが激減した
記号を増やすより1文字長くしたほうが良い話
アンチパターン出てんやから登録時にそれハネたらええだけやと思うが。ってか今時どのOS、ブラウザでも候補出して勝手に覚えてくれんやからそれでええやろって話やでw。
「定期的なパスワード変更の義務付け」こんなの未だにあったのか。某システムでぜったいにやぶられないパスフレーズ100文字を設定したのに、定期的に変更させられてどんどん短くなってった…