NIST Special Publication 800-63B

NIST Special Publication 800-63B Digital Identity Guidelines Authentication and Lifecycle Management Paul A. Grassi James L. Fenton Elaine M. Newton Ray A. Perlner Andrew R. Regenscheid William E. Burr Justin P. Richer Privacy Authors: Naomi B. Lefkovitz Jamie M. Danker Usability Authors: Yee-Yin Choong Kristen K. Greene Mary F. Theofanos This publication is available free of charge from: https://

[TsuSUZUKI]

"5.1.1.2. Memorized Secret Verifiers" "Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) unless there is evidence of compromise of the authenticator or a subscriber requests a change." / cf. http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html

[sirataki256]

パスワード セキュリティの重要な制御として、特にパスフレーズの使用を奨励することにより、パスワードの長さを長くすることをお勧めしま SP 800-63B の付録 A.3 には、この推奨事項のより詳細な根拠が記載されています

[kanu-orz]

・字種混在を強制するな ・時々変えるよう強制するな ・ペースト禁止するな ・Unicodeキャラクタや空白を含んでても拒否するな ・字数上限を64字未満にするな ・秘密の質問禁止・破られやすいパスワードはガンガン却下し

[Nyoho]

パスワード定期変更 5.1.1.2 Memorized Securet Verifiers

[fcicq]

5.1.1.2 Passwords obtained from previous breach corpuses. Dictionary words. Repetitive or sequential chars. Context-specific words... Verifiers SHOULD NOT impose other composition rules. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). Allow Paste

[ngyuki]

5.1.1.2 Memorized Secret Verifiers のあたりがパスワードを定期的に変更しなくてもいいというとこね

[tmatsuu]

良さそう。翻訳どこかにないだろうか。

[bootstraploader]

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.

[january]

デジタルアイデンティティガイドライン。認証とライフサイクル管理。

[tukanana]

例の二段階認証にSMSがNGの件、5.1.3.2の“Due to the risk that SMS messages may be intercepted or redirected, ”あたりのくだりかな。

[lowpowerschottky]

“DRAFT”

[sho]

NISTがパスワードの定期変更と秘密の質問を禁止