• はてなブックマーク
  • テクノロジー
  • “パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
  • Twitterでシェア
  • Facebookでシェア

“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG

テクノロジー カテゴリーの変更を依頼 記事元:www.itmedia.co.jp
適切な情報に変更
591 usersがブックマーク コメント141
    共有

    • 記事へのコメント141

    • 注目コメント
    • 新着コメント
    その他
    w_bonbon
    w_bonbon iOSとかChromeが丁寧に自動で作ってくれる強いパスワードを、記号は使えませんなどと弾くサービスについて

    2024/10/07 リンク

    その他
    teppeis
    teppeis 「パスワード入力時の「貼り付け」機能も許可すべき」マジで頼む、余計な実装しないでくれ

    2024/10/07 リンク

    その他
    enemyoffreedom
    enemyoffreedom 金融機関なのにいまだにパスワード長の上限が12文字とか下手すりゃ8文字のところもあり、そちらの方がよほど深刻。下限はともかく上限は比較的容易に変更できそうなものだが

    2024/10/07 リンク

    その他
    sumijk
    sumijk 既使用パスワードの一部とオーバーラップするのを禁止する縛りはマジで悪質

    2024/10/07 リンク

    その他
    q-Anomaly
    q-Anomaly 記号を使えないサイトをどうにかしてほしい。iCloudキーチェーンの自動生成パスワードが使えない

    2024/10/07 リンク

    その他
    nomono_pp
    nomono_pp パスワードに日本語が入力できるようになるといいのにね

    2024/10/07 リンク

    その他
    tyhe
    tyhe パスワード長、登録時とログイン時で違うサイトにチラホラ遭遇する。ちゃんと境界テストして欲しい。

    2024/10/07 リンク

    その他
    secseek
    secseek そもそもパスワードをネットワークに流す時点でリスクなんですよね。使わないのが一番です。すでにそれが現実的な時代になっています

    2024/10/07 リンク

    その他
    ChillOut
    ChillOut たまに手打ちを要求するサイトがあって腹が立つ “パスワードマネージャーの使用を許可し、パスワード入力時の「貼り付け」機能も許可すべきである。これは、複雑で一意のパスワードの使用を促進するためである”

    2024/10/07 リンク

    その他
    nakamura-kenichi
    nakamura-kenichi まあそもユーザのパスワードの管理云々言う前に、サイト設計含めて情報漏洩とかデータ持ち出し出来るとか、そういう企業側に罰則課せやって話やからな。せめてカードとか社会保障番号は賠償義務化しとけやて。

    2024/10/07 リンク

    その他
    minamishinji
    minamishinji こういう分野の常識ってどんどん変わるよね。

    2024/10/09 リンク

    その他
    and_hyphen
    and_hyphen 日本もはやく

    2024/10/08 リンク

    その他
    Ayrtonism
    Ayrtonism サイトやサービスによってルールが違うのも勘弁してほしい。特に、前使ったやつを絶対はじくR天。一体どうしろというのか。

    2024/10/08 リンク

    その他
    Funyapu
    Funyapu 更にn回分と被っちゃいけないとか言われても、もはや連番つけるだけです〜となる

    2024/10/08 リンク

    その他
    ZeroFour
    ZeroFour 数字のみ、しかも4桁とか6桁とかな所がまだ見かける…。

    2024/10/08 リンク

    その他
    georgew
    georgew 無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める > どうしてもそうなるよ。

    2024/10/08 リンク

    その他
    nilnil
    nilnil ↓監査で指摘されるからと言ってる人、顧客から要求されている場合を除いて(これも協議で外させたいが)、内部監査なら糞な社内規程定めている部署に、外部監査なら審査機関かその認定機関に苦情を申し入れなさい。

    2024/10/08 リンク

    その他
    houyhnhm
    houyhnhm えーと、NISTでいいよ。何か謎組織出てきたのかと思った。

    2024/10/08 リンク

    その他
    santo
    santo ウチの会社も対応して欲しい、

    2024/10/08 リンク

    その他
    adsty
    adsty パスワードを変更するたびに貧弱な文字列を選んでしまう。

    2024/10/07 リンク

    その他
    kiku72
    kiku72 “024年10月07日 ”

    2024/10/07 リンク

    その他
    shikiarai
    shikiarai でも監査法人が変えろって言うから……

    2024/10/07 リンク

    その他
    nkawai
    nkawai “文字種については、印刷可能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。”2バイト文字受け入れるシステム見た記憶無いな?試したら実はいけるのがあるのか?

    2024/10/07 リンク

    その他
    syamatsumi
    syamatsumi さーて、うちの会社は従ってくれるかしら? ぶっちゃけ大文字小文字数字を入れるより桁を長くした方が難易度は上がるんだよな。辞書攻撃つっても、辞書程度で破れるなら日本の住所の正規化はハカーが終わらせてる。

    2024/10/07 リンク

    その他
    masasia0807
    masasia0807 聞いていますか……日本製ITサービス各位……はてブで勝手に語りかけています。

    2024/10/07 リンク

    その他
    chiguhagu-chan
    chiguhagu-chan パスワード8文字以上12文字以内とか指定してくるやつは平文保存してて社内誰でも自由に閲覧できる特殊詐欺組織だと思っています

    2024/10/07 リンク

    その他
    izoc
    izoc とりあえず16桁以下制約はやめてくれ。でも機能追加以外の改修にはどこも及び腰だから2025年向けマイグレで改善してなかったらずっと先になるんだろうな。

    2024/10/07 リンク

    その他
    coper
    coper 2017.6に出たNIST SP800-63bでも定期変更要求や文字種指定はNGであった。今回のドラフトで記載が整理されているが、この点で盛り上がるのは今さら感あり。/ "新しく定めた標準では、...”:今の標準でもそうなっている。

    2024/10/07 リンク

    その他
    messzylinder
    messzylinder 結局ハッシュ化して保存するんだから文字数も文字種もあんまり関係ないんよね

    2024/10/07 リンク

    その他
    tsubasanano
    tsubasanano “多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている”

    2024/10/07 リンク

    その他
    Iridium
    Iridium サイトによって記号入りで登録したものが2度と入力できないことがある。ダブルクォートとか円マーク、カンマとかのパスワードのログインテストはちゃんとやってくれ。たぶんCSS対策で消されてる

    2024/10/07 リンク

    その他
    take_matsu
    take_matsu 会社からセキュリティ対策のためにパスワード変更を依頼されたが全員セキュリティ分かってない奴認定しても良い??ベストプラクティス考えてるのかな

    2024/10/07 リンク

    その他
    iqm
    iqm 2017で「定期変更を要求すべきでない」だったのが、2024で「要求してはならない」に変わったというお話

    2024/10/07 リンク

    その他
    vifam84
    vifam84 『パスワード入力時の「貼り付け」機能も許可すべきである。これは、複雑で一意のパスワードの使用を促進するためである。また、入力中のパスワードを一時的に表示するオプションを提供することが推奨される。』

    2024/10/07 リンク

    その他
    hinaloe
    hinaloe パスワードの変更画面では直前のパスワード入力してるはずだからそれを元ににたパスワード拒否できるけどリセットだとできないのでその判定出てきたら怖いな? > 履歴類似判定

    2024/10/07 リンク

    その他
    hozho
    hozho “「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。”

    2024/10/07 リンク

    その他
    netafull
    netafull “パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。”

    2024/10/07 リンク

    その他
    kiyotaka_since1974
    kiyotaka_since1974 参考にしよう。

    2024/10/07 リンク

    その他
    miki3k
    miki3k 似たパスワードを拒否するのって、生データを覚えてるってことなのかな / 定期変更の必要はないが、変更しなければいけない時を挙げると参考になるかもしれない

    2024/10/07 リンク

    その他
    nojiwasi
    nojiwasi ブコメにも散見されるのだが、メアドはともかくパスに母国語を使えるというのはダメなん? 覚えやすいし海外勢に対して強力だと思うんだが(素人考えだったらゴメン)

    2024/10/07 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    “パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG

    このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.