あのパスワード規則、実は失敗作だった - WSJ

パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。

[nikkatsu]

最近思うのは、日本でパスワードの定期更新って要件が無くならない元凶の一つがPマーク。Pマーク取得のためのガイドラインに「パスワードの有効期限を設定する」のが望ましいとあって、ほぼ義務化されてる

[norick]

定期パスワード変更と文字数制限（6文字決め打ちとか）のサービスは今すぐ滅ぶべき。

[xbs2r]

記号を増やしたところで使用可能文字は62文字(英数)からせいぜい95文字(ASCII印字可能文字全て)にしか増えないもん。1文字あたり0.6bitしか増えない。それより最短PW長を8文字から10文字に増やす方が圧倒的に効果がある

[sds-page]

パスワードに漢字使えるようにしろ

[hi_kmd]

パスワードの設定可能文字数がたいして長くないくせに「安全なパスワードではありません」とパスワードの評論をしてくれるサイトにいつもイラッとする。

[nagisabay]

もっと大きな声で世界中に発信してくれこれ＞あのパスワード規則、実は失敗作だった - WSJ

[otihateten3510]

本当に申し訳ないと思っているならできるはずだ。焼き土下座

[miki3k]

いまだにパスワードが上限8文字規制のところがあるんだよなあ。最低16文字、できれば32文字まで増やして欲しい。

[potohud]

定期的なパスワード変更がセキュリティー向上にほぼ無意味どころか、使い回しが増えデメリットのがよほど大きいということは、もっと広まって欲しい。　無駄なパスワード変更を強いられる場面が多すぎる。

[kokorosha]

パスワードの定期変更だけど、無意味とわかっても、このあと、世界で日本だけが取り残されて運用しそうな予感がする。「セキュリティ対策をがんばってます」的な根性マニアにとっては魅力的でやめられないと思う。

[tototti]

定期的な変更、記号の使用...などは効果が薄いという話。単語の組合せで長いパスワードを作る方が良いとか。

[exbaron]

ひろみちゅ案件（発狂者ひとり

[t-murachi]

humm...

[rteeeeee]

「今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ」

[u4k]

“数字・記号・大文字の組み合わせ、2003年に考案した人物が後悔”

[crema]

"既に退職したバー氏は「今では自分がしたことの多くを悔やんでいる」と話す。"

[umiusi45]

「いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない」。。。銀行のサイトは未だにこれうるさいのよねぇ～

[yondakakuyo]

ええ…

[tailtame]

パスワード定期変更でつまってリセットを繰り返す…。変更は漏れた時は本当よな。漏らしやがる……おのれ。

[chiba1008]

秘密の質問もさっさとやめてね

[zyzy]

結構前からxkcdでネタにされてたけど、ついにという感じ。

[digima]

こういう記事、開発の人たちに読んで欲しいわ。

[UDONCHAN]

そうだね

[kukita]

【#セキュリティ】あのパスワード規則、実は失敗作だったという話「パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた…今年6月に全面改定…最悪の部分は捨て去られた。」自分用メモφ(..)→

[lets_skeptic]

パスワードルールの国際基準は多くがNIST SP 800-63を参照してルールを決めることになっているので、やっとNISTが変わってくれたことに安堵（ドラフト版時点で定期変更はなくなっていた）他の基準が変わるのはいつだろう？

[shino-katsuragi]

後悔していると。

[blueribbon]

・いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない ・人類が1日にパスワード入力に費やす時間は計1300年相当を超えている

[pismo]

タイトルだけ読むと誤解する人がいそうだけど、要するに「定期変更を勧めたのは間違いだった」って事。情シス時代にも定期変更を勧めたことは一度もないね。

[fake-jizo]

パスワード管理に関する有名な冊子の執筆者ビル・バー氏（72）は、あれは失敗作だったと告白している。 Tags: via Pocket

[Seiji-Amasawa]

一部では言われてたよね。 #daycatch

[tym1101]

破られてもないのに家の鍵を3ヶ月に1回交換する人はいないですよね。だけど、単語の羅列の方が強いというのが疑問で、辞書アタックがあるからダメと言われてた気がするのですが。

[agrisearch]

「NISTスペシャルパブリケーション800-63 別表A」「今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ」

[raitu]

「「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない」

[souvenir038]

90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半。単語を並べ文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなる。

[kamezo]

「あのパスワード規則」＝パスワードに記号や大文字や数字を盛り込み、定期的に変更するの規則。それより、おぼえやすい英単語を３つ４つ組み合わせて文字数多めにする方がよいと。

[gogatsu26]

“カーネギーメロン大学のロリー・フェイス・クレイナー教授は、使われやすいパスワード500種類を盛り込んだドレスを作った。これを着て2015年のサイバーセキュリティー会議に出席”

[saharamakoto]

【再通達】 #京都銀行 の担当へ

[pochi-p]

発案者すら否定！！　ISMS/Pマークは「次回更新時廃止します」「現行の認証済み環境も、定期的変更は止めて結構です」を今月中に宣言しないと永久に信頼されないよ？

[PHILOSOPHIA_SOCIETY]

このような失敗を世間に伝えてくれることは、大切なことに思う。

[ikurii]

何が有効なのかは時代とともに変わるのでは。今有効と思われてるパスワード規制も時間がたてば失敗と言われるかもしれない。