“米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新した。記号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた”
ならどうすればええねん
100年前の風習を頑なに守ってる会社が何と多いことか
タイトルの釣りが酷いな。混合ルールより長の方が有効という話。12文字以上にしよう
英数字記号だけじゃなくてユニコード全体に広げたらしばらくはかなり強化されたりしないかな。時間の問題か。
複雑さより長さらしい。15文字以上を推奨? https://www.nist.gov/cybersecurity/how-do-i-create-good-password#:~:text=NIST%20guidance%20recommends%20that%20a,combinations%20of%2015%20lowercase%20letters.
パスワードは長ければ長いほど良い。または生体認証。指針はこのくらいで良いのでは
まるで「アルファベットのみに限定を推奨」と誤読しそうな見出し表現だぞ。さすがに原文にそんなニュアンスはなかった https://pages.nist.gov/800-63-4/sp800-63b.html#complexity Highly complex passwords introduce 以降
Norimono0︷︸
NIST的には90日ごとのパスワード変更も非推奨なのに全然無くならないし、業界標準と言いながら影響力弱いんではと思ってる
よく言われるがサービス側としてはとにかく文字数を増やすことが正義よね、ユーザー側はパスワード管理ソフトでサービス毎のランダム文字列
要約すると「特殊文字や数字を含めた方がより複雑になるけど、パスワードそのものを長くする事の方が重要だよ」って内容なので、この記事書いたヤツは無能。
『IDとパスワードをブラウザー(〜〜)に保存すると漏洩リスクは高まる』こらこら、紛らわしい書き方すんな。原文ではパスワードマネージャに対応することが推奨されている。 https://pages.nist.gov/800-63-4/sp800-63b.html#ref-blocklists
記事が間違っている。パスワード設定、記号・数字の混合を「推奨せず」ではなく「推奨を取りやめ」。記号・数字の混合を使用してもかまわない。
日経
20年も前から言ってるのに…使える文字種を増やすより桁1つ増やす方が何万倍も固くなるのにと…。NISTももっと強く事業者に向けて強要してくれよ、ユーザ側はそれを利用するしかないんだからさ。
うーむ
ユーザーテーブルに手を入れたら障害のリスクがあると思って、大きなリプレースまでは「今動いてるもの」を金かけて改修するところは少ない、みたいな状況だと想像
PPAP批判で当時のデジタル奉行が号令発して、サービス採用基準を利用者任せのまま外部サービスに振りきったり、このパスワード指針も環境に応じたリスク評価をすべきなのに、あたかも一律に呑み込むバカが発生してる
「りんご¥100」より「りんごおいしいねまいにちたべたいね」のほうがクラックに時間がかかるって話よね。「りんご¥100おいしいねまいにちたべたいね」もオッケー
パスキー
理由としては記号入りを強制させると「○○1!」という推測しやすいものになってしまうから。強制するなら文字数を決めるほうが確実。自己判断でセキュリティ強度を上げるために記号を含めるのはOK。
「米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新」「攻撃側の技術進化によって効力が薄れているためだ」
“号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた。”
「推奨しない」と言うと「特におすすめもしないしやめろとも言わない」というニュートラルな意味じゃなくて「やめといたほうがいい」というニュアンスになるよね。自然言語は難しい。
8文字とか10文字とかにパスワードの長さを制限しているサイトとか未だにある。商法で禁止にして欲しい。
パスワードに記号を使えない(なおかつ文字数制限がある)サービスは、パスワードを平文保存していると判断して利用しないようにしている。(例.ほとんど全てのチケット予約サイト)
思いついた!パスワードに漢字を使えるようにしたらいいんじゃないか!
パスキーにも対応せず定期的に再ログインしろだの(キーチェーン非対応)パスワード変更しろと迫るアプリは滅びて欲しい
まとめ方が間違ってるよね 。 数字や記号の混在を強制しても判読しやすい記号のみやアルファベットの一部を似た記号に置き換えるだけで複雑さが殆ど増えない。 コレなら強制せずに文字数を増やした方が良いって事。
この記事見出しはあかん
もうP@ssw0rd じゃなくて passwordでいいのか!やったぜ!!!
先日セキュリティ会社から秘密の質問を実装するよう求められました
実質定期的な変更と似たような話だよな
ゆうていみやおうきむこうほりいゆうじとりやまあきらぺぺぺぺぺぺ…
まぁ"定期的なパスワード変更を求めるな"という勧告もあまり守られていないし、コレも大して守られないのだろうけれど。最大パスワード長を延ばせというのも守られないし
有料記事で中身読めないのにタイトルで間違ったこと言ってるの害悪だろ。
「健康と美容のために一杯の紅茶、ロシアンティーを一杯。ジャムではなくマーマレードでもなくハチミツで」くらいの長さを使えるようになれば良いのにね。
長くすることが正義
【秘密の質問も答えを使い回す傾向が強く】自分の身の回りについての質問が多いし当然。使うなといわれるのも当然/【2017年に定期的なパスワード変更を「不要」とする指針】SMBCはいい加減に理解してくれ!
色々ひどいな。セキュリティ記事はちゃんと専門性のある記者に書かせて欲しい。単なる「IT担当」みたいな記者に書かせても間違った情報を広めることにしかならない。
安全より安全にやってます風が推奨される
パイポパイポ パイポのシューリンガン
今回、パスワードの定期更新は非推奨から強く禁止事項になったよ。漏洩があきらかな場合以外は更新を強制しない。
日本語の文章をローマ字にすると簡単に文字数増やせますよ。orenoPasuwaadoDesuyo!とか
さくらインターネットのレンタルサーバーが昨日、いきなりコレになってた。最低12文字になったので作り直し。
記事がひどい
実質同じ文字列でもleetspeakするかどうかで組み合わせの桁が変わるんだから
パスワード定期変更のときもありがちだったけど「サービス提供者がユーザーに求めてはいけないこと」と「ユーザーがやるべきではないこと」をごっちゃにすんな
大文字とか記号を強制するところはいい加減やめてほしい。桁数を増やせばいいじゃない。定期的に変更は論外
なんでもいいけど、サイトによってパスワードの文字数とか文字種が異なるのはやめてほしい。
1111にする人は記号必須にすると111!にするし、定期的な変更があれば111!2025にする。それよりは名前+ペットの名前+好きな食べ物の方がいい
まず文字数の上限設定を強く非推奨にするところから
そもそもIDパスワード単要素認証である時点で危険であるという前提抜きに桁数文字種の話をしても無駄ではないかという時代と認識している
混在の強制を否定してるしタイトルは半分正しい。『数字や記号、大文字などの異なる文字タイプの混在や、ペットの名前などの秘密の質問について「求めてはならない」と否定』/ 秘密の質問も定期変更も無くならないね
それでも日本の企業は、1ヶ月毎のパスワード変更(8文字)からルールを変えようとしない。手入力させてn回間違えたらアカウントロックして、「うちのセキュリティ対策はバッチリだ」と自画自賛する。
chromeのパスワードジェネレータがバカみたいに記号を混ぜてくるのでそれを毎回消す作業をしているが面倒。ほんとやめてほしい。他のデバイスやマネジャでパスを手入力するケースを完全に排除できるわけがない
こないだ使ってないサイトの整理も兼ねてパスワードの再設定とかしてたけど、秘密の質問求められてげんなりした。
いまだに上限8文字とかウケるよね
長くてもいいから定期的に変えさせるのをやめてほしい。
秘密の質問、質問によらずランダム文字列にしてPW管理アプリで保管。普通に会話の中でうっかりバレる可能性全然あるし。
ほんと「秘密の質問」がアホすぎる。とくに日本語だと漢字(異体字)、ひらがな、カタカナあって表記の揺れもあるし、内容的に全然秘密じゃなかったり、自分に適切な質問がなかったりもするし。
米国立標準技術研究所(NIST)
“多くの人は複雑な組み合わせを求められると「Password1!」といった推測されやすい文字列を選びがちだ。秘密の質問も答えを使い回す傾向が強く、効果が薄い”パスワードの定期変更の否定も継続
文字数を12文字とかにするだけで既存の出回ってるパスワードリストが使えなくなるんだよね。8文字程度は既存のよく使われてるパスワードリストに相当格納されてるよね。
パスワードの常識も10年単位で見るとどんどん変わっていくねえ
ソース見たらデマじゃねーかデマ新聞ってことでいい?
今更言われても
パスワードはもう”人が覚えられる”パスワードは全部非推奨でいいと思う。人が覚えておくことは前提にしない。 /記号じゃなくてひらがなカタカナを使わせてください
"業界標準と言いながら影響力弱いんではと思ってる" エンジニアの程度が低いだけ
実際は総当りよりフィッシングで自らパスワードを入力して漏洩するほうが多そうなので長さも組み合わせもそこまで重要ではない気がする
この記事は誤報レベルに表現が間違ってるぞ
少し前から言われてた奴と近しいね。/短期間でPWを更新する事にあまり意味はなく、クソ長いパスワードを利用する方がセキュアである。
ブコメを見て、相変わらずの日経新聞クオリティで安心した。IT記事は背伸びしないで日経BPに丸投げすればいいのに。
ん? 誤報? 「SP 800-63B-4」を読んで指摘しているのだろうか。見える範囲では、誤報に当たる部分は見いだせないが。指摘するならどこがどう違うかを、具体的に言うべきではないか。
米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新した。記号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた
もうブラウザに覚えさせればいいなら100文字とかにしようぜ。
一番敏感であるべき金融機関のサイトの基準が一番古臭いのなんとかして。すぐ変えさせようとするし、入力しにくい文字種混在させようとするし。
長めの文字列で好きなように設定していいが、推測されやすかったり pwned されてたりするパスワードを避けなさいって認識
「記号数字を必ず入れろ」は本質的に「記号数字を一切入れるな」と同等であり「入れる入れないは好きにしろ」の方が複雑性は上なんだけど、これを一般の皆さんに説明するのはほぼ無理なんよね。。
8文字パスワード二階建て以下略とか
“パスワードの文字数については原則「最低15文字」とするよう求めた。短いと、様々な文字列を試すブルートフォース(総当たり)攻撃で突破されるためだ。”
最近、けっこうな大手のサービスで、秘密の質問の答えを設定させられて、でも質問内容はこちらでは設定できず指定のものだけっていうのに遭遇したけど、それがどこのだったか、もう忘れちゃった。
“パスワード設定、記号・数字の混合を「推奨せず」 米機関が指針表明”
パスワード設定、記号・数字の混合を「推奨せず」 米NISTが指針表明 - 日本経済新聞
“米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新した。記号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた”
ならどうすればええねん
100年前の風習を頑なに守ってる会社が何と多いことか
タイトルの釣りが酷いな。混合ルールより長の方が有効という話。12文字以上にしよう
英数字記号だけじゃなくてユニコード全体に広げたらしばらくはかなり強化されたりしないかな。時間の問題か。
複雑さより長さらしい。15文字以上を推奨? https://www.nist.gov/cybersecurity/how-do-i-create-good-password#:~:text=NIST%20guidance%20recommends%20that%20a,combinations%20of%2015%20lowercase%20letters.
パスワードは長ければ長いほど良い。または生体認証。指針はこのくらいで良いのでは
まるで「アルファベットのみに限定を推奨」と誤読しそうな見出し表現だぞ。さすがに原文にそんなニュアンスはなかった https://pages.nist.gov/800-63-4/sp800-63b.html#complexity Highly complex passwords introduce 以降
Norimono0︷︸
NIST的には90日ごとのパスワード変更も非推奨なのに全然無くならないし、業界標準と言いながら影響力弱いんではと思ってる
よく言われるがサービス側としてはとにかく文字数を増やすことが正義よね、ユーザー側はパスワード管理ソフトでサービス毎のランダム文字列
要約すると「特殊文字や数字を含めた方がより複雑になるけど、パスワードそのものを長くする事の方が重要だよ」って内容なので、この記事書いたヤツは無能。
『IDとパスワードをブラウザー(〜〜)に保存すると漏洩リスクは高まる』こらこら、紛らわしい書き方すんな。原文ではパスワードマネージャに対応することが推奨されている。 https://pages.nist.gov/800-63-4/sp800-63b.html#ref-blocklists
記事が間違っている。パスワード設定、記号・数字の混合を「推奨せず」ではなく「推奨を取りやめ」。記号・数字の混合を使用してもかまわない。
日経
20年も前から言ってるのに…使える文字種を増やすより桁1つ増やす方が何万倍も固くなるのにと…。NISTももっと強く事業者に向けて強要してくれよ、ユーザ側はそれを利用するしかないんだからさ。
うーむ
ユーザーテーブルに手を入れたら障害のリスクがあると思って、大きなリプレースまでは「今動いてるもの」を金かけて改修するところは少ない、みたいな状況だと想像
PPAP批判で当時のデジタル奉行が号令発して、サービス採用基準を利用者任せのまま外部サービスに振りきったり、このパスワード指針も環境に応じたリスク評価をすべきなのに、あたかも一律に呑み込むバカが発生してる
「りんご¥100」より「りんごおいしいねまいにちたべたいね」のほうがクラックに時間がかかるって話よね。「りんご¥100おいしいねまいにちたべたいね」もオッケー
パスキー
理由としては記号入りを強制させると「○○1!」という推測しやすいものになってしまうから。強制するなら文字数を決めるほうが確実。自己判断でセキュリティ強度を上げるために記号を含めるのはOK。
「米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新」「攻撃側の技術進化によって効力が薄れているためだ」
“号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた。”
「推奨しない」と言うと「特におすすめもしないしやめろとも言わない」というニュートラルな意味じゃなくて「やめといたほうがいい」というニュアンスになるよね。自然言語は難しい。
8文字とか10文字とかにパスワードの長さを制限しているサイトとか未だにある。商法で禁止にして欲しい。
パスワードに記号を使えない(なおかつ文字数制限がある)サービスは、パスワードを平文保存していると判断して利用しないようにしている。(例.ほとんど全てのチケット予約サイト)
思いついた!パスワードに漢字を使えるようにしたらいいんじゃないか!
パスキーにも対応せず定期的に再ログインしろだの(キーチェーン非対応)パスワード変更しろと迫るアプリは滅びて欲しい
まとめ方が間違ってるよね 。 数字や記号の混在を強制しても判読しやすい記号のみやアルファベットの一部を似た記号に置き換えるだけで複雑さが殆ど増えない。 コレなら強制せずに文字数を増やした方が良いって事。
この記事見出しはあかん
もうP@ssw0rd じゃなくて passwordでいいのか!やったぜ!!!
先日セキュリティ会社から秘密の質問を実装するよう求められました
実質定期的な変更と似たような話だよな
ゆうていみやおうきむこうほりいゆうじとりやまあきらぺぺぺぺぺぺ…
まぁ"定期的なパスワード変更を求めるな"という勧告もあまり守られていないし、コレも大して守られないのだろうけれど。最大パスワード長を延ばせというのも守られないし
有料記事で中身読めないのにタイトルで間違ったこと言ってるの害悪だろ。
「健康と美容のために一杯の紅茶、ロシアンティーを一杯。ジャムではなくマーマレードでもなくハチミツで」くらいの長さを使えるようになれば良いのにね。
長くすることが正義
【秘密の質問も答えを使い回す傾向が強く】自分の身の回りについての質問が多いし当然。使うなといわれるのも当然/【2017年に定期的なパスワード変更を「不要」とする指針】SMBCはいい加減に理解してくれ!
色々ひどいな。セキュリティ記事はちゃんと専門性のある記者に書かせて欲しい。単なる「IT担当」みたいな記者に書かせても間違った情報を広めることにしかならない。
安全より安全にやってます風が推奨される
パイポパイポ パイポのシューリンガン
今回、パスワードの定期更新は非推奨から強く禁止事項になったよ。漏洩があきらかな場合以外は更新を強制しない。
日本語の文章をローマ字にすると簡単に文字数増やせますよ。orenoPasuwaadoDesuyo!とか
さくらインターネットのレンタルサーバーが昨日、いきなりコレになってた。最低12文字になったので作り直し。
記事がひどい
実質同じ文字列でもleetspeakするかどうかで組み合わせの桁が変わるんだから
パスワード定期変更のときもありがちだったけど「サービス提供者がユーザーに求めてはいけないこと」と「ユーザーがやるべきではないこと」をごっちゃにすんな
大文字とか記号を強制するところはいい加減やめてほしい。桁数を増やせばいいじゃない。定期的に変更は論外
なんでもいいけど、サイトによってパスワードの文字数とか文字種が異なるのはやめてほしい。
1111にする人は記号必須にすると111!にするし、定期的な変更があれば111!2025にする。それよりは名前+ペットの名前+好きな食べ物の方がいい
まず文字数の上限設定を強く非推奨にするところから
そもそもIDパスワード単要素認証である時点で危険であるという前提抜きに桁数文字種の話をしても無駄ではないかという時代と認識している
混在の強制を否定してるしタイトルは半分正しい。『数字や記号、大文字などの異なる文字タイプの混在や、ペットの名前などの秘密の質問について「求めてはならない」と否定』/ 秘密の質問も定期変更も無くならないね
それでも日本の企業は、1ヶ月毎のパスワード変更(8文字)からルールを変えようとしない。手入力させてn回間違えたらアカウントロックして、「うちのセキュリティ対策はバッチリだ」と自画自賛する。
chromeのパスワードジェネレータがバカみたいに記号を混ぜてくるのでそれを毎回消す作業をしているが面倒。ほんとやめてほしい。他のデバイスやマネジャでパスを手入力するケースを完全に排除できるわけがない
こないだ使ってないサイトの整理も兼ねてパスワードの再設定とかしてたけど、秘密の質問求められてげんなりした。
いまだに上限8文字とかウケるよね
長くてもいいから定期的に変えさせるのをやめてほしい。
秘密の質問、質問によらずランダム文字列にしてPW管理アプリで保管。普通に会話の中でうっかりバレる可能性全然あるし。
ほんと「秘密の質問」がアホすぎる。とくに日本語だと漢字(異体字)、ひらがな、カタカナあって表記の揺れもあるし、内容的に全然秘密じゃなかったり、自分に適切な質問がなかったりもするし。
米国立標準技術研究所(NIST)
“多くの人は複雑な組み合わせを求められると「Password1!」といった推測されやすい文字列を選びがちだ。秘密の質問も答えを使い回す傾向が強く、効果が薄い”パスワードの定期変更の否定も継続
文字数を12文字とかにするだけで既存の出回ってるパスワードリストが使えなくなるんだよね。8文字程度は既存のよく使われてるパスワードリストに相当格納されてるよね。
パスワードの常識も10年単位で見るとどんどん変わっていくねえ
ソース見たらデマじゃねーかデマ新聞ってことでいい?
今更言われても
パスワードはもう”人が覚えられる”パスワードは全部非推奨でいいと思う。人が覚えておくことは前提にしない。 /記号じゃなくてひらがなカタカナを使わせてください
"業界標準と言いながら影響力弱いんではと思ってる" エンジニアの程度が低いだけ
実際は総当りよりフィッシングで自らパスワードを入力して漏洩するほうが多そうなので長さも組み合わせもそこまで重要ではない気がする
この記事は誤報レベルに表現が間違ってるぞ
少し前から言われてた奴と近しいね。/短期間でPWを更新する事にあまり意味はなく、クソ長いパスワードを利用する方がセキュアである。
ブコメを見て、相変わらずの日経新聞クオリティで安心した。IT記事は背伸びしないで日経BPに丸投げすればいいのに。
ん? 誤報? 「SP 800-63B-4」を読んで指摘しているのだろうか。見える範囲では、誤報に当たる部分は見いだせないが。指摘するならどこがどう違うかを、具体的に言うべきではないか。
米国立標準技術研究所(NIST)は今夏、パスワード認証の指針を約3年ぶりに更新した。記号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた
もうブラウザに覚えさせればいいなら100文字とかにしようぜ。
一番敏感であるべき金融機関のサイトの基準が一番古臭いのなんとかして。すぐ変えさせようとするし、入力しにくい文字種混在させようとするし。
長めの文字列で好きなように設定していいが、推測されやすかったり pwned されてたりするパスワードを避けなさいって認識
「記号数字を必ず入れろ」は本質的に「記号数字を一切入れるな」と同等であり「入れる入れないは好きにしろ」の方が複雑性は上なんだけど、これを一般の皆さんに説明するのはほぼ無理なんよね。。
8文字パスワード二階建て以下略とか
“パスワードの文字数については原則「最低15文字」とするよう求めた。短いと、様々な文字列を試すブルートフォース(総当たり)攻撃で突破されるためだ。”
最近、けっこうな大手のサービスで、秘密の質問の答えを設定させられて、でも質問内容はこちらでは設定できず指定のものだけっていうのに遭遇したけど、それがどこのだったか、もう忘れちゃった。
“パスワード設定、記号・数字の混合を「推奨せず」 米機関が指針表明”