“米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新した。記号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた”
ならどうすればええねん
100年前の風習を頑なに守ってる会社が何と多いことか
タイトルの釣りが酷いな。混合ルールより長の方が有効という話。12文字以上にしよう
英数字記号だけじゃなくてユニコード全体に広げたらしばらくはかなり強化されたりしないかな。時間の問題か。
複雑さより長さらしい。15文字以上を推奨? https://www.nist.gov/cybersecurity/how-do-i-create-good-password#:~:text=NIST%20guidance%20recommends%20that%20a,combinations%20of%2015%20lowercase%20letters.
パスワードは長ければ長いほど良い。または生体認証。指針はこのくらいで良いのでは
まるで「アルファベットのみに限定を推奨」と誤読しそうな見出し表現だぞ。さすがに原文にそんなニュアンスはなかった https://pages.nist.gov/800-63-4/sp800-63b.html#complexity Highly complex passwords introduce 以降
Norimono0︷︸
NIST的には90日ごとのパスワード変更も非推奨なのに全然無くならないし、業界標準と言いながら影響力弱いんではと思ってる
よく言われるがサービス側としてはとにかく文字数を増やすことが正義よね、ユーザー側はパスワード管理ソフトでサービス毎のランダム文字列
要約すると「特殊文字や数字を含めた方がより複雑になるけど、パスワードそのものを長くする事の方が重要だよ」って内容なので、この記事書いたヤツは無能。
『IDとパスワードをブラウザー(〜)に保存すると漏洩リスクは高まる』こらこら、紛らわしい書き方すんな。原文ではパスワードマネージャに対応することが推奨されている。 https://pages.nist.gov/800-63-4/sp800-63b.html#ref-blocklists
記事が間違っている。パスワード設定、記号・数字の混合を「推奨せず」ではなく「推奨を取りやめ」。記号・数字の混合を使用してもかまわない。
日経
20年も前から言ってるのに…使える文字種を増やすより桁1つ増やす方が何万倍も固くなるのにと…。NISTももっと強く事業者に向けて強要してくれよ、ユーザ側はそれを利用するしかないんだからさ。
うーむ
ユーザーテーブルに手を入れたら障害のリスクがあると思って、大きなリプレースまでは「今動いてるもの」を金かけて改修するところは少ない、みたいな状況だと想像
PPAP批判で当時のデジタル奉行が号令発して、サービス採用基準を利用者任せのまま外部サービスに振りきったり、このパスワード指針も環境に応じたリスク評価をすべきなのに、あたかも一律に呑み込むバカが発生してる
「りんご¥100」より「りんごおいしいねまいにちたべたいね」のほうがクラックに時間がかかるって話よね。「りんご¥100おいしいねまいにちたべたいね」もオッケー
パスキー
理由としては記号を入りを強制させると「○○1!」という推測しやすいものになってしまうから。強制するなら文字数を決めるほうが確実。自己判断でセキュリティ強度を上げるために記号を含めるのはOK。
「米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新」「攻撃側の技術進化によって効力が薄れているためだ」
“号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた。”
「推奨しない」と言うと「特におすすめもしないしやめろとも言わない」というニュートラルな意味じゃなくて「やめといたほうがいい」というニュアンスになるよね。自然言語は難しい。
8文字とか10文字とかにパスワードの長さを制限しているサイトとか未だにある。商法で禁止にして欲しい。
パスワードに記号を使えないサービスは、パスワードを平文保存していると判断して利用しないようにしている。(例.ほとんど全てのチケット予約サイト)
思いついた!パスワードに漢字を使えるようにしたらいいんじゃないか!
パスキーにも対応せず定期的に再ログインしろだの(キーチェーン非対応)パスワード変更しろと迫るアプリは滅びて欲しい
まとめ方が間違ってるよね 。 数字や記号の混在を強制しても判読しやすい記号のみやアルファベットの一部を似た記号に置き換えるだけで複雑さが殆ど増えない。 コレなら強制せずに文字数を増やした方が良いって事。
この記事見出しはあかん
もうP@ssw0rd じゃなくて passwordでいいのか!やったぜ!!!
先日セキュリティ会社から秘密の質問を実装するよう求められました
実質定期的な変更と似たような話だよな
ゆうていみやおうきむこうほりいゆうじとりやまあきらぺぺぺぺぺぺ…
まぁ"定期的なパスワード変更を求めるな"という勧告もあまり守られていないし、コレも大して守られないのだろうけれど。そのくせに最大パスワード長は短かったりするし
有料記事で中身読めないのにタイトルで間違ったこと言ってるの害悪だろ。
「健康と美容のために一杯の紅茶、ロシアンティーを一杯。ジャムではなくマーマレードでもなくハチミツで」くらいの長さを使えるようになれば良いのにね。
長くすることが正義
【秘密の質問も答えを使い回す傾向が強く】自分の身の回りについての質問が多いし当然。使うなといわれるのも当然/【2017年に定期的なパスワード変更を「不要」とする指針】SMBCはいい加減に理解してくれ!
色々ひどいな。セキュリティ記事はちゃんと専門性のある記者に書かせて欲しい。単なる「IT担当」みたいな記者に書かせても間違った情報を広めることにしかならない。
安全より安全にやってます風が推奨される
パスワード設定、記号・数字の混合を「推奨せず」 米NISTが指針表明 - 日本経済新聞
“米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新した。記号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた”
ならどうすればええねん
100年前の風習を頑なに守ってる会社が何と多いことか
タイトルの釣りが酷いな。混合ルールより長の方が有効という話。12文字以上にしよう
英数字記号だけじゃなくてユニコード全体に広げたらしばらくはかなり強化されたりしないかな。時間の問題か。
複雑さより長さらしい。15文字以上を推奨? https://www.nist.gov/cybersecurity/how-do-i-create-good-password#:~:text=NIST%20guidance%20recommends%20that%20a,combinations%20of%2015%20lowercase%20letters.
パスワードは長ければ長いほど良い。または生体認証。指針はこのくらいで良いのでは
まるで「アルファベットのみに限定を推奨」と誤読しそうな見出し表現だぞ。さすがに原文にそんなニュアンスはなかった https://pages.nist.gov/800-63-4/sp800-63b.html#complexity Highly complex passwords introduce 以降
Norimono0︷︸
NIST的には90日ごとのパスワード変更も非推奨なのに全然無くならないし、業界標準と言いながら影響力弱いんではと思ってる
よく言われるがサービス側としてはとにかく文字数を増やすことが正義よね、ユーザー側はパスワード管理ソフトでサービス毎のランダム文字列
要約すると「特殊文字や数字を含めた方がより複雑になるけど、パスワードそのものを長くする事の方が重要だよ」って内容なので、この記事書いたヤツは無能。
『IDとパスワードをブラウザー(〜)に保存すると漏洩リスクは高まる』こらこら、紛らわしい書き方すんな。原文ではパスワードマネージャに対応することが推奨されている。 https://pages.nist.gov/800-63-4/sp800-63b.html#ref-blocklists
記事が間違っている。パスワード設定、記号・数字の混合を「推奨せず」ではなく「推奨を取りやめ」。記号・数字の混合を使用してもかまわない。
日経
20年も前から言ってるのに…使える文字種を増やすより桁1つ増やす方が何万倍も固くなるのにと…。NISTももっと強く事業者に向けて強要してくれよ、ユーザ側はそれを利用するしかないんだからさ。
うーむ
ユーザーテーブルに手を入れたら障害のリスクがあると思って、大きなリプレースまでは「今動いてるもの」を金かけて改修するところは少ない、みたいな状況だと想像
PPAP批判で当時のデジタル奉行が号令発して、サービス採用基準を利用者任せのまま外部サービスに振りきったり、このパスワード指針も環境に応じたリスク評価をすべきなのに、あたかも一律に呑み込むバカが発生してる
「りんご¥100」より「りんごおいしいねまいにちたべたいね」のほうがクラックに時間がかかるって話よね。「りんご¥100おいしいねまいにちたべたいね」もオッケー
パスキー
理由としては記号を入りを強制させると「○○1!」という推測しやすいものになってしまうから。強制するなら文字数を決めるほうが確実。自己判断でセキュリティ強度を上げるために記号を含めるのはOK。
「米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新」「攻撃側の技術進化によって効力が薄れているためだ」
“号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた。”
「推奨しない」と言うと「特におすすめもしないしやめろとも言わない」というニュートラルな意味じゃなくて「やめといたほうがいい」というニュアンスになるよね。自然言語は難しい。
8文字とか10文字とかにパスワードの長さを制限しているサイトとか未だにある。商法で禁止にして欲しい。
パスワードに記号を使えないサービスは、パスワードを平文保存していると判断して利用しないようにしている。(例.ほとんど全てのチケット予約サイト)
思いついた!パスワードに漢字を使えるようにしたらいいんじゃないか!
パスキーにも対応せず定期的に再ログインしろだの(キーチェーン非対応)パスワード変更しろと迫るアプリは滅びて欲しい
まとめ方が間違ってるよね 。 数字や記号の混在を強制しても判読しやすい記号のみやアルファベットの一部を似た記号に置き換えるだけで複雑さが殆ど増えない。 コレなら強制せずに文字数を増やした方が良いって事。
この記事見出しはあかん
もうP@ssw0rd じゃなくて passwordでいいのか!やったぜ!!!
先日セキュリティ会社から秘密の質問を実装するよう求められました
実質定期的な変更と似たような話だよな
ゆうていみやおうきむこうほりいゆうじとりやまあきらぺぺぺぺぺぺ…
まぁ"定期的なパスワード変更を求めるな"という勧告もあまり守られていないし、コレも大して守られないのだろうけれど。そのくせに最大パスワード長は短かったりするし
有料記事で中身読めないのにタイトルで間違ったこと言ってるの害悪だろ。
「健康と美容のために一杯の紅茶、ロシアンティーを一杯。ジャムではなくマーマレードでもなくハチミツで」くらいの長さを使えるようになれば良いのにね。
長くすることが正義
【秘密の質問も答えを使い回す傾向が強く】自分の身の回りについての質問が多いし当然。使うなといわれるのも当然/【2017年に定期的なパスワード変更を「不要」とする指針】SMBCはいい加減に理解してくれ!
色々ひどいな。セキュリティ記事はちゃんと専門性のある記者に書かせて欲しい。単なる「IT担当」みたいな記者に書かせても間違った情報を広めることにしかならない。
安全より安全にやってます風が推奨される