「英数・記号の混在」はもう古い NISTがパスワードポリシーの要件を刷新

NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。 米国国立標準技術研究所（NIST）は、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B」（以下、SP800-63B-4）を更新した。SP800-63B-4では認証方式やパスワード管理の在り方を実質的に改訂しており、ただ新しい要素を追加したのではなく、これまで「推奨（should）」とされていた事項を「必須（shall）」へと格上げし、旧来の慣行の一部を明確に禁止した。 従来のパスワードの常識は“崩壊”している NISTが定める新要件とは？ SP800-63B-4は主に政府機関や認証サービス提供者（Credential Service Provide

[tyhe]

ブコメ、強制させることがNGなのであって記号を選択できるようにすることは必要だと思うけれど。

[sugimo2]

“形式的な複雑性が実際の安全性を高めるとは限らず、むしろ利用者に予測可能なパターン（例：「Password1!」など）を選ばせてしまう傾向がある”

[ravell]

15桁以上のパスワードを全ログインID分なんて覚えられないから、おとなしくパスワードアプリを使えという事なんだろう。

[punychan]

「混在ルールを課してはならない」「単1要素認証……最低15文字を義務付け」「最大長については少なくとも64文字を許容」「既知の漏えいパスワードとの照合が正式に義務化」なかなか攻めたなあ。日本で一般化するか？

[fellfield]

記号を利用可能にしてほしいという顧客の要求を長年断ってきたので（最低文字数を長くしたほうが安全）、とても助かる。利用可能な記号一覧を表示するとUIが複雑になって良くない。シンプルに「半角英数字」がいい。

[ShionAmasato]

後ろの!を増やすだけ、というようなことを言う人いるけど、3個増やす人と4個増やす人と5個増やす人に分かれるだけで組み合わせが増えるから有意義。（紛らわしいので：それが「良い」ではなくまだ「マシ」ぐらいで）

[daira4000]

勘違いしてるブコメあるけど英数字記号の混在を必須にするなってだけで受け入れる範囲は印字可能な文字とスペースって書いてあるぞい

[toria_ezu1]

長くしたところで、Password1!!!!!!!!とかになるだけ／と思ったけど、同じ文字をひたすら並べたら数を数え間違う可能性が高いか／以前に何処かで「小文字のみ。数字も記号もダメ」という所があって唖然としたことがある

[Listlessness]

ところが経産省のサプライチェーンセキュリティ格付け制度案では10文字以上複雑性要件ありとなっていて、弊社の新パスワードポリシーもそれに準拠したものに変わった。無期限になったことだけは前向きに捉えたい。

[inatax]

攻撃者も虱潰しにやるだけが能じゃないんで末尾に！が連なるパターンは辞書攻撃のターゲットにしてるだろうし、「後ろの！を増やすだけ」はやっぱりよろしくないよ

[kaku_q-karakuwa]

NISTはパスワードポリシーに関するガイドラインSP800-63Bを更新した。従来のパスワード設定で“常識”とされていた大文字と小文字、数字、記号の混在を明確に禁止し、新たな基準を設けた。

[dmp939]

設計上、どこから既知の漏洩パスワード拾ってくればいいのさ

[defiant]

この記事をおすすめしました

[zu2]

日本語対応にしたらしたで合成文字やらなんやらで死にそうではある

[georgew]

要するに重要なのは十分に長いランダム文字列であることか。

[onionskin]

パスワードなんて覚えちゃだめ。現実としてはもうパスワードマネージャー使うしかない。そしてパスキーが最善

[suka6411144]

もう早くパスキーに移行しよう

[me-tro]

記号、大文字混在を強制されるより、単純に長けりゃOKの方が複雑に設定できるよ。ユーザー心理的に。それが今までの実例から証明されたんやろね。

[nori__3]

もうGoogleさんに覚えさせるしかないやろ。

[ata00000]

主題とは関係ないけど、こういうセキュリティの啓蒙になる記事は誰でも読めるようにしてほしいなぁ。

[Cru]

「母の旧姓」とか「初めて行った家族旅行先」とかネットにあげた事なければ安全なのに公開情報使う人いるんだ/英数のみ使用のブコメ、印字可能文字なのに入力不可な記号があるのはUI設計に安全性の問題があるのでは？

[vwjpa]

入力済のパスワード(一部)を記録させて入力時に自分しか知らない特定キーワードをパスの最後に数ケタの文字を入力するといった工夫をしたり。パスワード保存アプリ流出でパスワード全部記録させる訳にいかないし

[goronehakaba]

定期的に変更しろだの小文字大文字数字混ぜて何文字以上だのうるさいと、AAAAAAa1→aaaaaaA1ってな風になるからな

[FreeCatWork]

パスワード、ボクにはカリカリの方が大事なのにゃ！NISTさん、変わってるにゃ〜！

[bfoj]

漢字を使えばいいのでは？今さらだが…

[leiqunni]

おい、「記号を利用可能にしてほしいという顧客の要求を長年断ってきたので」と言うクソがいるな。おい。おい。記号が使えない前提なら総当たり回数は変わらんだろバカ

[ebibibi]

素晴らしい。無意味どころか逆効果な「やってるつもり」のセキュリティーポリシーを駆逐して欲しい。

[Iridium]

15文字以上なら文章になるしかない。それはそれでセキュリティレベルが落ちる可能性がある

[tockri]

漏洩済みのパスワードリストなんてものが出回ってるくらいなので、「英数記号全種縛り」のサイトなら、そのリストを絞り込んで効率的にクラックできるもんね。

[edy009]

昔勤めた会社で3か月ごとにパスワード変えさせられたので面倒になって紙に書いていたのを思い出すな。そのシステム作ったのは日本トップクラスのIT企業。さすがだなと思った

[spark64]

記号混在強制で「Password1!」みたいな安易なのが増えるのなら、最低15文字にすると、今度は覚えやすいように0123456789とかで桁を埋めて、実質5文字パスワードとか増えそう

[ryouchi]

2バイト文字とか使えるようにしたらどう？ 「パスワードはhogeです」 とか？

[tu_no_tu]

いまだにメモや記憶に頼ってる人ほど、短い単純なパスワードの使い回しをしていて危険な状態。パスワード管理ツール使えば長いパスワードでも何の問題もない。ブラウザやOS標準のでも良いから使おう。

[tacamula]

ブラウザのinput type=passwordの追加属性の設定はどのくらい普及してるのかな。パスワードマネージャー側で自動で読み取って欲しい。サービスごとにルール違うのは諦めるからせめて自動生成をスムーズにさせてくれ

[m7g6s]

日本語使わせろ（暴論）

[umaemong]

結局、パスワードを手入力してるような人達に生半可なポリシー突きつけたところで、セキュアなパスワード設定してくれるようになるわけじゃないからなぁ。パターンが減るポリシーより増えるポリシー。

[hogetax]

そりゃそうだ。選択できる組み合わせ数を減らすことになるから、その分総当たり数が減る。もうパスワードは管理アプリなしでは対応無理だと思うよ

[chiguhagu-chan]

お前のためだけにパスワードジェネレーターの設定を変えるのがだるいので上限1000文字にしたうえで全ての記号を使わせろ

[ku__ra__ge]

覚えられない、という人がいるが覚えているワードを入力するという運用を辞めろという話でしょ

[slalala]

そもそも個人にパスワードを決めさせる作りが古いのでは？と最近思い始めてる