1: 名無しさん@涙目です。(東京都) [ES] 2024/10/07(月) 13:41:18.90 ID:iMLr1B340 BE:279771991-2BP(1500)
sssp://img.5ch.net/ico/tarako2.gif
「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。
多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。
これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。
パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。
新しく定めた標準では、NISTはオンラインツールやソフトウェアが「定期的にパスワードを変更するようユーザーに要求してはならない」としている。これは、頻繁な変更がかえって脆弱なパスワードの使用につながる可.能性があるためである。ただし、パスワードの侵害が疑われる場合は、即座に変更を強制する。
パスワードの長さについては、最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。
文字種については、印刷可.能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。これは、そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可.能性があるためである。
パスワード選択時には、一般的に使用や予想される、または過去に侵害されたパスワードのブラックリストと照合する。これにより、脆弱なパスワードの使用を防ぐ。ブラックリストに含まれるパスワードが選択された場合(文字数
「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。
多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。
これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。
パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。
新しく定めた標準では、NISTはオンラインツールやソフトウェアが「定期的にパスワードを変更するようユーザーに要求してはならない」としている。これは、頻繁な変更がかえって脆弱なパスワードの使用につながる可.能性があるためである。ただし、パスワードの侵害が疑われる場合は、即座に変更を強制する。
パスワードの長さについては、最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。
文字種については、印刷可.能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。これは、そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可.能性があるためである。
パスワード選択時には、一般的に使用や予想される、または過去に侵害されたパスワードのブラックリストと照合する。これにより、脆弱なパスワードの使用を防ぐ。ブラックリストに含まれるパスワードが選択された場合(文字数
https://www.itmedia.co.jp/news/articles/2410/07/news054.html
引用元: ・米政府機関「PW変更の定期的な要求はNG。あと大文字小文字記号数字の混在強制もNG」 [279771991]
2: 名無しさん@涙目です。(庭) [JP] 2024/10/07(月) 13:43:47.94 ID:QESDPzOq0
桁数増やして公衆Wi-Fiつかわなければまず大丈夫。
あとはクリップボードに記憶させるなよ。
あとはクリップボードに記憶させるなよ。
3: 名無しさん@涙目です。(やわらか銀行) [US] 2024/10/07(月) 13:45:36.88 ID:I4Kd6tJ40
グーグル様が全て覚えてて勝手に書き込んでくれる
4: 名無しさん@涙目です。(新潟県) [US] 2024/10/07(月) 13:46:39.73 ID:j5d/8jV70
極論二段階認証にすればパスabcdとかでいいだろ
5: 名無しさん@涙目です。(福井県) [AU] 2024/10/07(月) 13:46:47.50 ID:WpYucVPO0
結局本人でもわかんなくなるだけ
コメント