さすがに多少の複雑さは無いと「aaaaaaaaaaaaaaa」とかが蔓延らないか？

パスワードってよりパスフレーズを推奨する流れになったけど弊社は変わらずパスワード定期変更が必要でつらい

15字以上も覚えられないよ…

>さすがに多少の複雑さは無いと「aaaaaaaaaaaaaaa」とかが蔓延らないか？
今回の改定ではこれまで重要とされてきた「複雑さ」を求めない特徴がある。Malwarebytesによるとユーザーに特殊文字(記号など)、数字、大文字の使用を義務づけても、セキュリティの強化にはつながらず、むしろ誤ったパスワードを生み出すだけとされる。例えば、「password」を選択するユーザーに複雑さを求めても「Password1!」などを選択する可能性が高く、意味がないとしている。
しかしながら、この要件は複雑なパスワードを否定しているわけではない。パスワードマネージャーの利用と生成される複雑なパスワードの利用は推奨しており、「強制しても意味がない」点を強調しているにすぎない。

>Malwarebytesによるとユーザーに特殊文字(記号など)、数字、大文字の使用を義務づけても、セキュリティの強化にはつながらず、むしろ誤ったパスワードを生み出すだけとされる。例えば、「password」を選択するユーザーに複雑さを求めても「Password1!」などを選択する可能性が高く、意味がないとしている。
まあそうですよね…

>さすがに多少の複雑さは無いと「aaaaaaaaaaaaaaa」とかが蔓延らないか？
そういう値や過去に漏洩したパスワードなんかも弾こうねっていうお話も盛り込まれてるから大丈夫だよ

>さすがに多少の複雑さは無いと「aaaaaaaaaaaaaaa」とかが蔓延らないか？
アタッカーからすりゃ複雑でも単純でも同じだよって話だけど
お前みたいに全く理解できない奴も多いんだろうな

要件満たしてないものを弾いちゃうと総当たりしやすくなって本末転倒だしな

>>さすがに多少の複雑さは無いと「aaaaaaaaaaaaaaa」とかが蔓延らないか？
>アタッカーからすりゃ複雑でも単純でも同じだよって話だけど
>お前みたいに全く理解できない奴も多いんだろうな
さすがに繰り返しの文字列はダメな例として扱われてる

>そういう値や過去に漏洩したパスワードなんかも弾こうねっていうお話も盛り込まれてるから大丈夫だよ
なるほど

たまにある記号強制の癖に一部記号が使えない奴はなんなの…

これずーーーーーーっと言われてたけどようやく改善されたのか
日本に波及すんの何年後かわからんけど…

セキュリティの質問ようやく無くなるかな…
ランダムな文字列にしちゃってるわ

意外ときっちり書かれてるから読もう
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf

納得感あるし面白いな
今日一勉強になった

パスワード更新を強要しないのはありがたい…

馬鹿を叱っても知能は上がらないという戒め

>15字以上も覚えられないよ…
複雑さはそんなに要求されてないから好きな歌の歌詞とか座右の銘とかでいい
3kkago100baidakarana!みたいに数字や記号も入るフレーズだとなおいい

俺はKeepass使いマン
パスワードのコピペが禁止されているWebサイト滅びろ高校生でもある

もうブラウザ任せにしてる人の方が多いだろうしな

長くても一つだったら覚えられる
敵はパスワードの文字数上限かけてくるサイト

例えば大文字小文字数字記号合わせて10文字以上のパス作れとか言われた日には
俺はYa777ma@daとかクソ適当なのを作る

私記号入れるパスワード嫌い！

日本語を使わせてくれ

>俺はKeepass使いマン
>パスワードのコピペが禁止されているWebサイト滅びろ高校生でもある
keepassならDnDできるだろ

祝詞とかお経とかでもいいのか

最近は定期的に変えさせてると横着して雑なパスワードにする様になると見られてるらしいな

もう手入力をしない方法にシフトしてるのでパスワードをコピペで入力出来るようにしとけよ！みたいな話も含まれている

>祝詞とかお経とかでもいいのか
表記揺れとか多そうな界隈だ
ちゃんと覚えられるんなら悪いことはないんだろうが

パスキーもっと流行れ

最近はもう自動生成に頼ってしまっている

>パスワードは過去の侵害データベースに基づく「ブラックリスト」と照合されるべきである
まあそうね

>パスワード更新を強要しないのはありがたい…
でも弊社がそれに則ってやるかは別問題だけどね…

複雑さよりもランダムに選んだ単語3つ繋げた方がいいって話あったな

パスワードを記憶に頼るな

>最近は定期的に変えさせてると横着して雑なパスワードにする様になると見られてるらしいな
最近どころかこの規格の前バージョン時点で定期変更やめとけよってなってる…

紙に書いて金庫にしまうのがセキュリティ的には強い
さすがに面倒くさいからメモ帳のファイルをUSBメモリに保存してる

>>パスワード更新を強要しないのはありがたい…
>でも弊社がそれに則ってやるかは別問題だけどね…
それもこれもISMSってやつに準拠するためなんだ

>最近どころかこの規格の前バージョン時点で定期変更やめとけよってなってる…
弊社はそのままだけどなガハハ！

母親の旧姓認証駄目なんだ…

パスワードに「大文字と小文字を使う」とか「定期的に変更する」とか条件をつけるとユーザが覚えられなくなってメモしちゃうからそこから漏れるんだよね
ハッキングの大部分はソーシャルハッキングだし
パスワードはとにかく長いほどいいし条件はつけないほうがいいというのが今のトレンド

>>パスワード更新を強要しないのはありがたい…
>でも弊社がそれに則ってやるかは別問題だけどね…
いまだに銀行やカード会社ですら数ヶ月での定期的なパスワード更新を求めてくる…

>パスワードを記憶に頼るな
ユーザが常に理想的の行動すると思うな

>長くても一つだったら覚えられる
>敵はパスワードの文字数上限かけてくるサイト
8文字までとか狂ったサイトがたまに現れる
漏れた時に全滅しないようにヤバいサイト用のメールアドレスで登録する

>パスワードを記憶に頼るな
あれ？ログイン出来ねぇ…あれ…？
ってやったら1文字だけ違ってたとか大文字小文字間違えてるだけってのはままある

自分の名前アルファベットで逆から+1145148101919でも相当強度高いってこと？？

NISTはいいこと言うな…

>>>パスワード更新を強要しないのはありがたい…
>>でも弊社がそれに則ってやるかは別問題だけどね…
>いまだに銀行やカード会社ですら数ヶ月での定期的なパスワード更新を求めてくる…
そこら辺はPCI DSS準拠のためじゃないの
まあそのうち規格側も変わるでしょ

>母親の旧姓認証駄目なんだ…
昔Webのアンケートやってて答えようとした人が「これ全部Appleの秘密の質問だ…」ってなったホラー話があったりしてな…

>自分の名前アルファベットで逆から+1145148101919でも相当強度高いってこと？？
日本語のローマ字化はかなり強度高いよ
なんか漫画でもなんでもいいけど好きなセリフをそのまま打つとかかなり強い

実際のところ日本語をパスワードに使いたいっていうのはある
パスワードに全角文字を使えない理由ってなんだろう…

>>母親の旧姓認証駄目なんだ…
>昔Webのアンケートやってて答えようとした人が「これ全部Appleの秘密の質問だ…」ってなったホラー話があったりしてな…
なるほどなあ…悪いやつの頭の使い方は違うな

PASUWADODAYO

今のパスワードを繰り返して倍の長さにしてくださいってやつ好き

>パスワードに全角文字を使えない理由ってなんだろう…
文字コードによって違うとかそういう問題があるのかなと

ISO規格はドキュメントが有料でそれなりに高いのがイラっとする…

その昔PCのパスを某ラノベの一節にしたことがある
打ち間違いがダルいから辞めた

長いパスワードにしても使い回してたのでどっかで漏洩した事あると辞書アタックされたら終わる

>>長くても一つだったら覚えられる
>>敵はパスワードの文字数上限かけてくるサイト
>8文字までとか狂ったサイトがたまに現れる
>漏れた時に全滅しないようにヤバいサイト用のメールアドレスで登録する
JCBのMYJCBがそうだった…
クレジットカードの会社なのに…

>その昔PCのパスを某ラノベの一節にしたことがある
>打ち間違いがダルいから辞めた
アルファベット入力は意外とめんどくさいよな…
日本語変換されるとそんなでもないのに

定期的に変えるよう推奨するのはマジで間違った文化なの割と簡単に思い至るだろうに
なんであんなに普及してんだろうな…

>パスワードに全角文字を使えない理由ってなんだろう…
異体字が混じると地獄を見るから

>長いパスワードにしても使い回してたのでどっかで漏洩した事あると辞書アタックされたら終わる
まず使い回すのがよくない

全部のサービスで別にして紙に書いておく！これね！

二輪の西洋ミツバチ素揚げした
みたいなよくわかんない一文をローマ字にしてパスにする！

>その昔PCのパスを某ラノベの一節にしたことがある
tasogareyorimofurukimono？

２バイト文字が使えたら簡単に強固になるのに

たとえ長くて複雑な文字列でも
「スカーレット・オハラは美人ではなかったが、双子のタールトン兄弟がそうだったように、ひとたび彼女の魅力に捉えられてしまうと、そんなことに気のつくものはほとんどないくらいだった。」
とかはパスワードにしてる人めっちゃ多そう

i自動生成パスワードを長すぎるとか記号使うなとかで弾くサイトはクソ

>まず使い回すのがよくない
覚えてられねぇ！面倒くせぇ！使い回す！！
って人結構多いんじゃねぇかな…

PCも指紋認証使い始めたわ
めっちゃ楽

jyugemujyugemuを辞書攻撃で破られる日本人

>母親の旧姓認証駄目なんだ…
fu5752269.jpg
こんな感じの展開になったら困るから

SMS認証よりTOTPを推奨してよ

秘密の質問はソーシャルエンジニアリングの餌食

>JCBのMYJCBがそうだった…
>クレジットカードの会社なのに…
もうその時点でサービスの信用は地に落ちるし使うたびに気になってくるよな…

合言葉ダメなのか
結構多いんだけど

秘密の質問は法律で禁じるべき
逮捕していいよ

>これずーーーーーーっと言われてたけどようやく改善されたのか
>日本に波及すんの何年後かわからんけど…
ISOとJISも何年も前からずっと言ってるのに反映されないあたりね…

fuckin_passward
で行こう

ainomamaniwagamamanibokuhakimidakewokizutukenai

健康と美容のために食後に一杯の紅茶を

２バイト文字は英語圏の人達がデバックしにくそうでセキュリティホールになりそうではある

PPAPメールもやめてよ

インシデント報告でこんなん見て定期的…３ヶ月更新は阿呆だなぁと思ったよ
前回のＰＷと間違えた
ＰＷジェネレーター→紙→打鍵の何処かで文字を間違えて登録した
(秘密監査のショルダーハックで)容易なパスワード…年月と固定のの組み合わせを使ってた

秘密の質問を使うのはいい
なんで質問と回答をセットでユーザーに入力させるの…

パスワードにひらがなカタカナ漢字採用してほしい

これでバカみたいな定期変更から解放されるのか

通っていた小学校は！？
gKlLoV_2rr4#jjbRfz

>fu5752269.jpg
>こんな感じの展開になったら困るから
ちょっと何の話かわかんない…

>>母親の旧姓認証駄目なんだ…
>fu5752269.jpg
>こんな感じの展開になったら困るから
？？？

末尾に"1!"つけちゃいけねぇのかよ…

結局生年月日とイニシャルを組み替えたやつが安牌なんだよね

>通っていた小学校は！？
>gKlLoV_2rr4#jjbRfz
わかるわかる

>２バイト文字は英語圏の人達がデバックしにくそうでセキュリティホールになりそうではある
記号が一文字は必須？�鰍ﾆか〒を使えば良いんだろ？

P@$$w0rd！

>これでバカみたいな定期変更から解放されるのか
馬鹿みたいに定期変更させるとこはガイドラインが変わったからって即座に従ったりはしない

>これでバカみたいな定期変更から解放されるのか
提唱であって日本の中小企業に定着するまではあと10年くらいかかるかもしれん

秘密の質問がまだあるのおかしいだろと思っている

バカに多くを求めるな

pasuwaado

文字の大小にせよ記号にせよ
制限事項は増えれば増えるほど候補が減って特定は楽になるからな…

昔飼ってたペットの名前は？みたいな質問の回答は全部統一してるけど多分ダメなんだろうな

>>これでバカみたいな定期変更から解放されるのか
>馬鹿みたいに定期変更させるとこはガイドラインが変わったからって即座に従ったりはしない
俺には定期変更させるのにお前は定期変更しないのか…

oppai_manko_manko_chinko

攻撃側有利すぎる

>ID:zJHR1d0A
自分の知ってることはみんなが知ってる前提で話すの怖いからやめてほしい…

意味のある英語の文章にするのがいいよ

使える文字増やすよりパスワード長くする方がいいってようやくなったのか…
組み合わせ数的にもこっちの方がいいよな…

>意味のある英語の文章にするのがいいよ
> fuckin_passward

秘密の質問は全部適当に作らせてマネージャーに持たせてる
俺は発音できない名前のペットを複数飼ってるバケモンだ

Taiwan is not Chinaみたいな感じにしとくとたぶん中国連中からの不正アクセスは防げる

ログインするたんびに再発行してるわ

複雑なパスワードよりもn回ログイン試行に失敗したらロックかけるのを義務化した方が良いんじゃ

>Taiwan is not Chinaみたいな感じにしとくとたぶん中国連中からの不正アクセスは防げる
いちいち単語の意味合いなんて調べてると思ってる？

>複雑なパスワードよりもn回ログイン試行に失敗したらロックかけるのを義務化した方が良いんじゃ
職場で嫌いなやつのログイン邪魔する遊びが流行っちまうぜ

アメリカだって役所は遅いんだ
日本の役所なんてもっと遅いわけだ

>いちいち単語の意味合いなんて調べてると思ってる？
あっちの人がそんな単語を入力したら当然検知される

ひらがなカタカナ使えるようにするだけで強固になるのに

決まった文字列＋サービスに関する文字列
の組み合わせでやってるから同じパスワードを使いまわしてるのは一つもないけど全部覚えられていい感じ

>職場で嫌いなやつのログイン邪魔する遊びが流行っちまうぜ
そんな職場さっさと辞めるべきだろ

>秘密の質問は全部適当に作らせてマネージャーに持たせてる
>俺は発音できない名前のペットを複数飼ってるバケモンだ
俺の母親の旧姓は金玉だ

>複雑なパスワードよりもn回ログイン試行に失敗したらロックかけるのを義務化した方が良いんじゃ
そういうのは行われているので攻撃する方も攻撃対象のアカウントを変えながら試行することでロックされないようにしている

6文字以上10文字以内で記号不可とかいうクソパスワードフォーマットのサービスに先月当たって超ビックリした
パチンコの抽選アプリなんだけどこんなの現代で許されんのかよって思った

指紋認証ってどの指でもOKなの？

>パチンコの抽選アプリなんだけどこんなの現代で許されんのかよって思った
パチンコのネット抽選アプリを使うこと自体にネットリテラシーとしての問題がありそうだ

>指紋認証ってどの指でもOKなの？
登録した指だけ

>あっちの人がそんな単語を入力したら当然検知される
検知って…誰がどうやって？

>6文字以上10文字以内で記号不可とかいうクソパスワードフォーマットのサービスに先月当たって超ビックリした
>パチンコの抽選アプリなんだけどこんなの現代で許されんのかよって思った
パチンコならええ

>検知って…誰がどうやって？
スーパーハカーがカチャカチャってやる

>指紋認証ってどの指でもOKなの？
やりゃわかるよ

>指紋認証ってどの指でもOKなの？
もしそうだったらこえーよ！

日本ではまだ定期的な変更が有効です！ってセキュリティの専門家までテレビで言ってるけど
定期的な変更にあまり意味はないって結構前から結論出されてたよね…

>>検知って…誰がどうやって？
>スーパーハカーがカチャカチャってやる
漏れのIPぶっこ抜かれちゃう！

>>Taiwan is not Chinaみたいな感じにしとくとたぶん中国連中からの不正アクセスは防げる
>いちいち単語の意味合いなんて調べてると思ってる？
入力しようとしても通信を監視するプログラムが機械的に止める

秘密の質問て今だとクレカ会社が積極的に求めてくる印象

>定期的な変更にあまり意味はないって結構前から結論出されてたよね…
意味ないっていうかみんな面倒くさくなってバレやすいパス使い始めるリスクが高いとか

>意味ないっていうかみんな面倒くさくなってバレやすいパス使い始めるリスクが高いとか
今日の８

秘密の質問は完全にセキュリティホールだよね

人間の心理や手間を考えるとね…だから複雑さのやつもそうだけど
パスワードマネージャとか使うことの意味がでてくるんだろうな
そんで最終的にはパスワードレスにしてパスキーって話に

>パスワードの長さは15文字以上とする。ただし、多要素認証(MFA: Multi-Factor Authentication)を併用する場合は8文字以上を許容する。最大長は少なくとも64文字をサポートする
今まで12文字以上16文字以下にして下さいみたいな腐った要求してくるとこがあったけどこれもしかして今まで最大長16文字だったりした？

>>意味ないっていうかみんな面倒くさくなってバレやすいパス使い始めるリスクが高いとか
>今日の８
㌧

パスワード更新しなきゃならなくなるんか

辞書攻撃って今でもあるのかな
ないなら日本語の長めのフレーズ数字混ぜたローマ字で打つぐらいだと覚えやすくていくらでも長くできるんだけど

>辞書攻撃って今でもあるのかな
Cookie狙った方が遥かに効率いい

>辞書攻撃って今でもあるのかな
>ないなら日本語の長めのフレーズ数字混ぜたローマ字で打つぐらいだと覚えやすくていくらでも長くできるんだけど
今でもあるから使うなよってなってる

定期的なパスワード変更を強制しないってもう随分前から言われてんのになかなか広まらないよね

大文字と記号混ぜて最大長にするのが基本だろ

今時辞書攻撃されたらサーバー側がシャットアウトするけどやってないとこもありそうでな…

パスワードマネージャが便利なのはわかる一方でパスワードマネージャ自体の
提供停止とか引き継ぎ失敗が怖くてなんか踏み出せないところがある

>パスワードマネージャが便利なのはわかる一方でパスワードマネージャ自体の
>提供停止とか引き継ぎ失敗が怖くてなんか踏み出せないところがある
俺も何となく手が出せない

>>>Taiwan is not Chinaみたいな感じにしとくとたぶん中国連中からの不正アクセスは防げる
>>いちいち単語の意味合いなんて調べてると思ってる？
>入力しようとしても通信を監視するプログラムが機械的に止める
百歩譲ってそれが金盾に引っかかるとしてもなんで犯罪活動するやつが金盾超えてないと思うんだ
お前のそれは単なる差別主義だろ

パスの更新か…openis202510だな

>定期的なパスワード変更を強制しないってもう随分前から言われてんのになかなか広まらないよね
加えて一度入力したことのあるパスは使えないみたいな組み合わせだとマジで複雑なの作りたくねえ！

>パスワードマネージャが便利なのはわかる一方でパスワードマネージャ自体の
>提供停止とか引き継ぎ失敗が怖くてなんか踏み出せないところがある
一般の用途ならgoogleのでいいよ

金盾なんて串通すだけで終わるもんに全幅の信頼置きすぎだろ

素晴らしい
定期的なパスワード変更はほんとうにゴミ
後パスワード3アウト制もゴミ
5年前くらいに会社のセキュリティチームにやめろやめろクレーム入れまくった