ADどないすんねんw
たしかに複雑なパスワードを求めておいて字数で切られるとキレそうになる
だんだん現実的なルールになってきてますね。今さらって気もしますが。ランダムで複雑な文字列なんて人間には無理です
パスワードに「複雑さ」(特殊文字、数字など)を強制してはならない / ほんとこれ
なるほど?
konopassworddeiinoka
このご時世に許容パスワード長がやたら短いうえに、入力した文字列のあふれた文字を捨てて登録するシステムを使わされている
日本でこれが浸透するまで何年かかるかなぁ。。。(遠い目
“パスワードに「複雑さ」(特殊文字、数字など)を強制してはならない ”
“パスワードに「複雑さ」(特殊文字、数字など)を強制してはならない、パスワードの長さは15文字以上とする”
15年も前から言われてたろ…
「15文字以上」というのは、私はあまり守っていないな。でもそれが標準になるのならこれからはそうする。
強制はPasswordがPassword!になるだけで意味がないとのこと。自動生成はあり。
日本はまず入力可能なパスワードの最長が8文字までとかになってるサイトをどうにかしてくれ
来世ではUnkomotimoti!をパスワードにして生きていく。
パスワードは記憶するものという観念から解き放つような取り組みが必要よね。そのせいで複雑になっていない複雑性を持たせたパスワードが跋扈したわけだし
Keepassとか各デバイスでアプリとDBファイルの指定が別になってるパスワード管理ツールで、DBはDropboxで共有しとけば32桁英数記号混在とかでも何も管理困らんだろ、と20年くらいずっと使ってんだけど何か違うの?
特に常識を覆してはないな
未だにパスワードの定期変更を求められてます
“これまでの常識を覆す新ルール” → いや、全く覆していない。20年位前にはセキュリティ界隈では既に指摘されていた。単にアンチパターンを強要していただけ。
今まで散々言われてきて未だに従ってないだけで新常識でも何でも無かった
会社でiPhone貸与されてセットアップしてたときに知識ベース認証を何度も求められた記憶があるので、Apple社はサッサとこれを適用するように。
15文字以上になるのか
“NIST”
自衛のために難しいクソ長記号入りパスワード設定しようとしても、「記号なし😡もっと短く😡」みたいなのを求めてくるシステムどうにかしろ
『環境は日々変化しており、従来のセキュリティのままでは不正アクセスを受けるリスクがある。オンラインサービスの提供者および認証システムの開発者は〜必要に応じてシステムを改修することが望まれている』
「知識ベース認証(最初のペットの名前は何ですか?など)の使用を求めてはならない」 ねんきんネット…
パスワード、長くて複雑なのはもう古いんだって!ボク、覚えるの苦手だから助かるにゃ〜!
別に“これまでの常識を覆す新ルール”ではなく、既に新しい常識として定着済みの考え方をガイドラインに採用したように見える。ただ実装が普及するのには時間がかかるのかもしれない。
PCI DSS がなあ
認証周りはもう各々が作るのはやめてテンプレ化•規格化して欲しい
“パスワードに複雑さ(特殊文字、数字など)強制は不可。パスワードの長さは15文字以上。ただし多要素認証併用なら8文字以上を許容。最大長は少なくとも64文字。定期的なパスワードの変更を要求してはならない。”
日本はルールをアップデートするというルールがないからだめだよ
認証処理は外部に任せるのが一番になってきたな。AD-Entra同期でOath認証するのが一番良さそう
あまり驚きは無かった
説明したくないからもっとうるさく言っといて
パスキー法案でも出そう。
現在のセキュリティ事情を反映してる感じ。被害を受けないためにも常識のアップデートが必要だね
ほんそれな。大小英文字数字記号全部使えみたいなあたおか要件はほんとええ加減にせぇよ
iPhoneの強力なパスワードと要件が一致しないとき、クソ面倒くさすぎてパスワードリセットすりゃええやろってなってる
これは、認証を求めるシステム提供者が準拠すべきガイドラインなので、利用者はパスワードマネージャー使って、システムごとに異なるランダムな長いパスワードを生成して使えば、それだけで良い。
常識は覆されなかった。
謎マナーのような納得しかねるルールが次々否定されていて小気味いい。パスワード設定は、誰もが逆効果だと思っていた慣例が多すぎる。
自前でセキュアに認証作るのは限界なのかも。認証プロバイダ連携のほうが利便性も高いしパスワード残さなくていいし。
あんま読んでないけど今時の生体認証を使いやすい高級なスマートフォンをターゲットにしているのかそうじゃない端末をターゲットにしているのか次第かな
うん、生成されたパスワードを使うように仕向ける意味でもこれでいいんだろな
15文字以上とかクレージーとしか思えないが「覚える」ことは前提にしていない?
PPAPなんとかして
知識ベース認証で真面目な回答を設定してる人なんなんだろうな
最低文字数増で、だんだん間違えず手入力するのが難しくなってくるな。認証失敗時のロック回数についても、考え方の指針を示してほしい。長文パスワードなのに10回程度でロックするのは勘弁。
定期変更禁止の件もそうだけど、ルールをユーザーに強制しても悪化していくだけってことだよなコレ
記号を入れろ→その記号は使えません、とかバカにしてんのかと思う
パスワード定期変更マジで害悪だから早く世の中からなくなってほしい。
「知識ベース認証(最初のペットの名前は何ですか?など)の使用を求めてはならない」げに。これはその人のことをよく知る他人が解錠できてしまう可能性を上げるだけのリスクに過ぎなかった悪習。早々に滅ぼされるべき。
パスワードマネージャーを使うのをほぼ前提にしてるのかな?もうパスワードなんて覚えちゃいけない。だからパスキー一択。
さらに「ブロックリスト」を導入するように推奨している。
どうせハッシュになるんだから最大長は定めないか、数百文字にしておくのが正しい。32文字を最低文字数にしたのどこだっけ。常識を覆すんじゃなく、常識に追いついたという表現が正しい。
複雑さがダメなのではない。複雑なほど強度が高いのは当然。ただし、強制されると末尾に!を付けるだけとかになって無意味になるとのこと。
「定期的なパスワードの変更を要求してはならない」パスワード有効期限90日・過去4回と同じパスワードへの変更拒否する金融機関があるので早く滅ぼしてほしい https://x.com/hnw/status/1154550906903334912
DNAで認識してほしい
Finalが出たのは7月の話だし、文字種や定期変更の話なども2022年に出たドラフト版のころから何度か話題になっていた話なので、よっぽどアンテナが低い人以外は常識は特には覆されてないと思う https://x.gd/iF5Az
新ルールに従え。今すぐにだ
使える記号が限られてると自動生成が通らなかったりして面倒なんだよね。定期変更禁止はようやくうちの会社にも適用された。もっと広まって欲しい。
侵害された時のみパスワード変更強制、正しいんだろうけどtoCサービスの場合「うちパスワード漏洩しました」て宣言するのと同じだからやりづらいだろうな。某大手銀行も未だに定期的に変えさせられる。
「大文字、数字、記号を1個以上使え!」制約はむしろパターン数を減らすだけで意味ないと思ってたので良かった。記号等を使うことじゃなく「使えること」が総当りにとっては対策だからな
また10年くらいかかりそう
このルールだと、abcdefghijklmno みたいなのでも、aaaaaaaaaaaaaaa みたいなのでもいいってこと? / パスワード生成ツールを使うことを推奨してるのね。それなら理解できる。
パラダイムシフト
長いパスワードを要求すると覚えやすい英文を使う人が増えそう。
ひろみちゅ先生が何年も前から言ってた話とだいたい同じやな。
そんなに変わってないと思うけど。いまどきパスワードの定期変更強制とかないだろうし。
“定期的なパスワードの変更を要求してはならない。”いまだに浸透しないよなこれ
公開されたのが本当に素晴らしい。秘密の質問は知ってる中ではappleが一番うざかった。今あるのかはしらん。
いまだに銀行とか証券会社でも定期的なパスワード変更を要求するところあるんだよなあ。英字だけじゃなく大文字も入れろとか。
定期的に複雑なパスワード変更を求められるのに、ユーザーがパスワード入力が面倒だと言うのでパスワードの入力不要になるWindows Helloを導入しましたってそうじゃねえんだよ…。変更が不要だって言ってんだろ…。
各種OSとかブラウザにパスワード管理機能が組み込まれるようになったからね。ユーザー側はもう素直にそれをツツウラウラってサービス側もその前提の設計にしようよね。
三井住友のATMって使用者の名前がディスプレイに表示されるんだけど、アレかなりリスクだよね。
パスワード定期変更させるのはhogehoge1、hogehoge2、hogehoge3を生むだけで無意味だっていい加減わかって!
やっと真っ当なガイドラインになった
総務省でPW定期変更を求めない指針を出したのが18年だけど、未だにそれを無視してる銀行多いし、十年後も三ヶ月に一度PW変更させる銀行が残ってんじゃないかな。
使う文字種に関して、昔、自社の内部システムを作るときに、パスワード長が長ければ文字種の制限を緩くする、というのを自作したなぁ。差し当たっての問題は、最大パスワード長の短いサイト。
へんなアイコンをメールで送ってきて二要素認証もどきさせるのも強く非推奨(というか禁止)にしてほしい。本当にイライラする
後で、もう一度、読み直します!
大手SIer(笑)にさっさとルール変えるように強制するれば浸透早いと思うよ
とりあえずパスワードツールで自動生成したパスワードが文字数オーバーとか禁止文字種使用ではじかれるのなんとかしてくれ
まめにくつがえされてるヤツをまとめてくれたか
NISTがパスワードの定期変更すべきでないとしたのが7年前の2018年だが、未だに不勉強でセキュリティ後進企業の多くはその水準にすら達していない。これが日本に浸透するのは50年後くらいになるのではないだろうか。
パスワードに全角文字を利用できるようにしてくれたほうが安全になりそうだけど、欧米からそういう規格はでないんだろうな
長いパスワード、登録の時には勝手に切り捨てたうえで受け入れて、でも実際の使用時に長いまま入力すると認証失敗みたいなサイトに出会ったことあったな。お排泄物以下だと思います
3.1.1.2.4ではパスワード文字種について “SHOULD accept Unicode characters” とあるので、漢字やひらがなも使えることが望ましい たまに試しているが、パスワードに日本語が使えるサービスはまだまだ少ない
やっと日本でも、そうなったか
定期的なパスワード変更は無意味どころか害があるって話は何年も前に海外でも指摘されてたのに、未だに定期変更求めてくる銀行とかシステム屋は全員仕事やめろと思う
ホンコレすぎる →「知識ベース認証(最初のペットの名前は何ですか?など)の使用を求めてはならない」母親の旧姓は?も含め、むしろ脆弱性が増悪すると懸念していた。
めんどくさくなると人間はパスワードを使い回しはじめる
Microsoft全否定で草wwwwww 広まってくれ。
もうパスワードとか Otoineppu⁉︎ とか地名のローマ字でよくないか。どう頑張っても機械では無理でしょ。パスワードリストや辞書に載ってないだろうし方言をローマ字でもいいんじゃないって思う
最近数字要求多いけど意味ない
“ユーザーに特殊文字(記号など)、数字、大文字の使用を義務づけても、セキュリティの強化にはつながらず、むしろ誤ったパスワードを生み出すだけとされる。”
日本で普及するのは、80年くらい先かな。
強制しないとサイト側も悪いとか言われて裁判で負けるから早々変わらんよ
フィッシング耐性についてはどうなのか
これとともにPPAPも廃絶してくれ。→PPAPとは「パスワード付きZIPファイルを送る」「パスワードを送る」「暗号化」「プロトコル」の略語
IPAは日本人向けブロックリスト作成してくれ。あぁでも作成すると各業界の開発で使われてるパスワードがバレるのか草
複雑さを求めないように変更されている。
NIST、新しいパスワードガイドライン公開 - これまでの常識を覆す新ルール
ADどないすんねんw
たしかに複雑なパスワードを求めておいて字数で切られるとキレそうになる
だんだん現実的なルールになってきてますね。今さらって気もしますが。ランダムで複雑な文字列なんて人間には無理です
パスワードに「複雑さ」(特殊文字、数字など)を強制してはならない / ほんとこれ
なるほど?
konopassworddeiinoka
このご時世に許容パスワード長がやたら短いうえに、入力した文字列のあふれた文字を捨てて登録するシステムを使わされている
日本でこれが浸透するまで何年かかるかなぁ。。。(遠い目
“パスワードに「複雑さ」(特殊文字、数字など)を強制してはならない ”
“パスワードに「複雑さ」(特殊文字、数字など)を強制してはならない、パスワードの長さは15文字以上とする”
15年も前から言われてたろ…
「15文字以上」というのは、私はあまり守っていないな。でもそれが標準になるのならこれからはそうする。
強制はPasswordがPassword!になるだけで意味がないとのこと。自動生成はあり。
日本はまず入力可能なパスワードの最長が8文字までとかになってるサイトをどうにかしてくれ
来世ではUnkomotimoti!をパスワードにして生きていく。
パスワードは記憶するものという観念から解き放つような取り組みが必要よね。そのせいで複雑になっていない複雑性を持たせたパスワードが跋扈したわけだし
Keepassとか各デバイスでアプリとDBファイルの指定が別になってるパスワード管理ツールで、DBはDropboxで共有しとけば32桁英数記号混在とかでも何も管理困らんだろ、と20年くらいずっと使ってんだけど何か違うの?
特に常識を覆してはないな
未だにパスワードの定期変更を求められてます
“これまでの常識を覆す新ルール” → いや、全く覆していない。20年位前にはセキュリティ界隈では既に指摘されていた。単にアンチパターンを強要していただけ。
今まで散々言われてきて未だに従ってないだけで新常識でも何でも無かった
会社でiPhone貸与されてセットアップしてたときに知識ベース認証を何度も求められた記憶があるので、Apple社はサッサとこれを適用するように。
15文字以上になるのか
“NIST”
自衛のために難しいクソ長記号入りパスワード設定しようとしても、「記号なし😡もっと短く😡」みたいなのを求めてくるシステムどうにかしろ
『環境は日々変化しており、従来のセキュリティのままでは不正アクセスを受けるリスクがある。オンラインサービスの提供者および認証システムの開発者は〜必要に応じてシステムを改修することが望まれている』
「知識ベース認証(最初のペットの名前は何ですか?など)の使用を求めてはならない」 ねんきんネット…
パスワード、長くて複雑なのはもう古いんだって!ボク、覚えるの苦手だから助かるにゃ〜!
別に“これまでの常識を覆す新ルール”ではなく、既に新しい常識として定着済みの考え方をガイドラインに採用したように見える。ただ実装が普及するのには時間がかかるのかもしれない。
PCI DSS がなあ
認証周りはもう各々が作るのはやめてテンプレ化•規格化して欲しい
“パスワードに複雑さ(特殊文字、数字など)強制は不可。パスワードの長さは15文字以上。ただし多要素認証併用なら8文字以上を許容。最大長は少なくとも64文字。定期的なパスワードの変更を要求してはならない。”
日本はルールをアップデートするというルールがないからだめだよ
認証処理は外部に任せるのが一番になってきたな。AD-Entra同期でOath認証するのが一番良さそう
あまり驚きは無かった
説明したくないからもっとうるさく言っといて
パスキー法案でも出そう。
現在のセキュリティ事情を反映してる感じ。被害を受けないためにも常識のアップデートが必要だね
ほんそれな。大小英文字数字記号全部使えみたいなあたおか要件はほんとええ加減にせぇよ
iPhoneの強力なパスワードと要件が一致しないとき、クソ面倒くさすぎてパスワードリセットすりゃええやろってなってる
これは、認証を求めるシステム提供者が準拠すべきガイドラインなので、利用者はパスワードマネージャー使って、システムごとに異なるランダムな長いパスワードを生成して使えば、それだけで良い。
常識は覆されなかった。
謎マナーのような納得しかねるルールが次々否定されていて小気味いい。パスワード設定は、誰もが逆効果だと思っていた慣例が多すぎる。
自前でセキュアに認証作るのは限界なのかも。認証プロバイダ連携のほうが利便性も高いしパスワード残さなくていいし。
あんま読んでないけど今時の生体認証を使いやすい高級なスマートフォンをターゲットにしているのかそうじゃない端末をターゲットにしているのか次第かな
うん、生成されたパスワードを使うように仕向ける意味でもこれでいいんだろな
15文字以上とかクレージーとしか思えないが「覚える」ことは前提にしていない?
PPAPなんとかして
知識ベース認証で真面目な回答を設定してる人なんなんだろうな
最低文字数増で、だんだん間違えず手入力するのが難しくなってくるな。認証失敗時のロック回数についても、考え方の指針を示してほしい。長文パスワードなのに10回程度でロックするのは勘弁。
定期変更禁止の件もそうだけど、ルールをユーザーに強制しても悪化していくだけってことだよなコレ
記号を入れろ→その記号は使えません、とかバカにしてんのかと思う
パスワード定期変更マジで害悪だから早く世の中からなくなってほしい。
「知識ベース認証(最初のペットの名前は何ですか?など)の使用を求めてはならない」げに。これはその人のことをよく知る他人が解錠できてしまう可能性を上げるだけのリスクに過ぎなかった悪習。早々に滅ぼされるべき。
パスワードマネージャーを使うのをほぼ前提にしてるのかな?もうパスワードなんて覚えちゃいけない。だからパスキー一択。
さらに「ブロックリスト」を導入するように推奨している。
どうせハッシュになるんだから最大長は定めないか、数百文字にしておくのが正しい。32文字を最低文字数にしたのどこだっけ。常識を覆すんじゃなく、常識に追いついたという表現が正しい。
複雑さがダメなのではない。複雑なほど強度が高いのは当然。ただし、強制されると末尾に!を付けるだけとかになって無意味になるとのこと。
「定期的なパスワードの変更を要求してはならない」パスワード有効期限90日・過去4回と同じパスワードへの変更拒否する金融機関があるので早く滅ぼしてほしい https://x.com/hnw/status/1154550906903334912
DNAで認識してほしい
Finalが出たのは7月の話だし、文字種や定期変更の話なども2022年に出たドラフト版のころから何度か話題になっていた話なので、よっぽどアンテナが低い人以外は常識は特には覆されてないと思う https://x.gd/iF5Az
新ルールに従え。今すぐにだ
使える記号が限られてると自動生成が通らなかったりして面倒なんだよね。定期変更禁止はようやくうちの会社にも適用された。もっと広まって欲しい。
侵害された時のみパスワード変更強制、正しいんだろうけどtoCサービスの場合「うちパスワード漏洩しました」て宣言するのと同じだからやりづらいだろうな。某大手銀行も未だに定期的に変えさせられる。
「大文字、数字、記号を1個以上使え!」制約はむしろパターン数を減らすだけで意味ないと思ってたので良かった。記号等を使うことじゃなく「使えること」が総当りにとっては対策だからな
また10年くらいかかりそう
このルールだと、abcdefghijklmno みたいなのでも、aaaaaaaaaaaaaaa みたいなのでもいいってこと? / パスワード生成ツールを使うことを推奨してるのね。それなら理解できる。
パラダイムシフト
長いパスワードを要求すると覚えやすい英文を使う人が増えそう。
ひろみちゅ先生が何年も前から言ってた話とだいたい同じやな。
そんなに変わってないと思うけど。いまどきパスワードの定期変更強制とかないだろうし。
“定期的なパスワードの変更を要求してはならない。”いまだに浸透しないよなこれ
公開されたのが本当に素晴らしい。秘密の質問は知ってる中ではappleが一番うざかった。今あるのかはしらん。
いまだに銀行とか証券会社でも定期的なパスワード変更を要求するところあるんだよなあ。英字だけじゃなく大文字も入れろとか。
定期的に複雑なパスワード変更を求められるのに、ユーザーがパスワード入力が面倒だと言うのでパスワードの入力不要になるWindows Helloを導入しましたってそうじゃねえんだよ…。変更が不要だって言ってんだろ…。
各種OSとかブラウザにパスワード管理機能が組み込まれるようになったからね。ユーザー側はもう素直にそれをツツウラウラってサービス側もその前提の設計にしようよね。
三井住友のATMって使用者の名前がディスプレイに表示されるんだけど、アレかなりリスクだよね。
パスワード定期変更させるのはhogehoge1、hogehoge2、hogehoge3を生むだけで無意味だっていい加減わかって!
やっと真っ当なガイドラインになった
総務省でPW定期変更を求めない指針を出したのが18年だけど、未だにそれを無視してる銀行多いし、十年後も三ヶ月に一度PW変更させる銀行が残ってんじゃないかな。
使う文字種に関して、昔、自社の内部システムを作るときに、パスワード長が長ければ文字種の制限を緩くする、というのを自作したなぁ。差し当たっての問題は、最大パスワード長の短いサイト。
へんなアイコンをメールで送ってきて二要素認証もどきさせるのも強く非推奨(というか禁止)にしてほしい。本当にイライラする
後で、もう一度、読み直します!
大手SIer(笑)にさっさとルール変えるように強制するれば浸透早いと思うよ
とりあえずパスワードツールで自動生成したパスワードが文字数オーバーとか禁止文字種使用ではじかれるのなんとかしてくれ
まめにくつがえされてるヤツをまとめてくれたか
NISTがパスワードの定期変更すべきでないとしたのが7年前の2018年だが、未だに不勉強でセキュリティ後進企業の多くはその水準にすら達していない。これが日本に浸透するのは50年後くらいになるのではないだろうか。
パスワードに全角文字を利用できるようにしてくれたほうが安全になりそうだけど、欧米からそういう規格はでないんだろうな
長いパスワード、登録の時には勝手に切り捨てたうえで受け入れて、でも実際の使用時に長いまま入力すると認証失敗みたいなサイトに出会ったことあったな。お排泄物以下だと思います
3.1.1.2.4ではパスワード文字種について “SHOULD accept Unicode characters” とあるので、漢字やひらがなも使えることが望ましい たまに試しているが、パスワードに日本語が使えるサービスはまだまだ少ない
やっと日本でも、そうなったか
定期的なパスワード変更は無意味どころか害があるって話は何年も前に海外でも指摘されてたのに、未だに定期変更求めてくる銀行とかシステム屋は全員仕事やめろと思う
ホンコレすぎる →「知識ベース認証(最初のペットの名前は何ですか?など)の使用を求めてはならない」母親の旧姓は?も含め、むしろ脆弱性が増悪すると懸念していた。
めんどくさくなると人間はパスワードを使い回しはじめる
Microsoft全否定で草wwwwww 広まってくれ。
もうパスワードとか Otoineppu⁉︎ とか地名のローマ字でよくないか。どう頑張っても機械では無理でしょ。パスワードリストや辞書に載ってないだろうし方言をローマ字でもいいんじゃないって思う
最近数字要求多いけど意味ない
“ユーザーに特殊文字(記号など)、数字、大文字の使用を義務づけても、セキュリティの強化にはつながらず、むしろ誤ったパスワードを生み出すだけとされる。”
日本で普及するのは、80年くらい先かな。
強制しないとサイト側も悪いとか言われて裁判で負けるから早々変わらんよ
フィッシング耐性についてはどうなのか
これとともにPPAPも廃絶してくれ。→PPAPとは「パスワード付きZIPファイルを送る」「パスワードを送る」「暗号化」「プロトコル」の略語
IPAは日本人向けブロックリスト作成してくれ。あぁでも作成すると各業界の開発で使われてるパスワードがバレるのか草
複雑さを求めないように変更されている。