米国政府機関「パスワード定期変更や大文字数字強制はダメ」数十年の研究の結果、逆にセキュリティを損なうと判明😲

1 : 2024/10/08(火) 14:09:32.17 ID:2th6shsc0: https://www.itmedia.co.jp/news/spv/2410/07/news054.html
“パスワード変更”をユーザーに定期的に要求はダメ　米国政府機関が発表　「大文字や数字を入れろ」の強制もNG
Innovative Tech
米国立標準技術研究所（NIST）が、組織はユーザーに定期的なパスワード変更を要求してはならないという内容を含めた新しいガイダンスを発表した。
2 : 2024/10/08(火) 14:09:43.81 ID:2th6shsc0: 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。

　これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。

　パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。
3 : 2024/10/08(火) 14:09:58.39 ID:2th6shsc0: 　新しく定めた標準では、NISTはオンラインツールやソフトウェアが「定期的にパスワードを変更するようユーザーに要求してはならない」としている。これは、頻繁な変更がかえって脆弱なパスワードの使用につながる可能性があるためである。ただし、パスワードの侵害が疑われる場合は、即座に変更を強制する。
4 : 2024/10/08(火) 14:10:12.82 ID:2th6shsc0: パスワードの長さについては、最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。

　文字種については、印刷可能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。これは、そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可能性があるためである。

　パスワード選択時には、一般的に使用や予想される、または過去に侵害されたパスワードのブラックリストと照合する。これにより、脆弱なパスワードの使用を防ぐ。ブラックリストに含まれるパスワードが選択された場合、システムは別のパスワードを選択するよう求め、拒否の理由を説明しなければならない。
5 : 2024/10/08(火) 14:10:34.48 ID:2th6shsc0: パスワードマネージャーの使用を許可し、パスワード入力時の「貼り付け」機能も許可すべきである。これは、複雑で一意のパスワードの使用を促進するためである。また、入力中のパスワードを一時的に表示するオプションを提供することが推奨される。これにより、ユーザーは入力ミスを防ぐことができる。
7 : 2024/10/08(火) 14:10:54.20 ID:QAjMbE3FM: 電話番号で紐付けしてるからなあ
8 : 2024/10/08(火) 14:11:29.96 ID:6CgcgIPo0: 生体認証からめて楽させてくれや
10 : 2024/10/08(火) 14:12:04.45 ID:kZ7Xjde70: ＞パスワードマネージャーの使用を許可し、パスワード入力時の「貼り付け」機能も許可すべきである。

その方が抜きやすそう
11 : 2024/10/08(火) 14:12:17.29 ID:XTngvuoha: Unicodeはやめたほうがいいと思うけどね
複数端末またがったときに同じに見える文字が別コードとかあるし
12 : 2024/10/08(火) 14:12:28.92 ID:OIMij12r0: 「定期的に変えさせろ」
「大文字小文字数字を混ぜさせろ」
これ言い出したの誰だよ
13 : 2024/10/08(火) 14:12:40.84 ID:DPPW8ASw0: そりゃFBIやCIAから見れば、個人のパスワードは単純な方が望ましいからね
14 : 2024/10/08(火) 14:12:49.14 ID:vCIdQag00: 大文字小文字数字特殊記号（ただし-_!@#$%^&*に限る）を含み
8文字以上16文字以下で入力してください
※ペーストは不可

これな
15 : 2024/10/08(火) 14:14:43.69 ID:MjR7h3nM0: 会社のパスワードなんてみんな会社名＋数字だからな
16 : 2024/10/08(火) 14:14:44.31 ID:DSRqdJYz0: 暗証番号もだいたい同じにしてるわ混ざるから使い分け諦めた
17 : 2024/10/08(火) 14:14:56.45 ID:eGFeOyh2H: マイナンですら覚えられず行列
19 : 2024/10/08(火) 14:16:40.60 ID:YcG6QaO80: こういうの100%真に受けていわゆる全角を許容しておかしな事になるのがジャップ
21 : 2024/10/08(火) 14:18:30.20 ID:+hiywZ1M0: >パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまう
ほえ～
22 : 2024/10/08(火) 14:18:30.88 ID:5XaFfj7/H: もしかしてNSAに都合がいい方向に持っていこうとしてる？
23 : 2024/10/08(火) 14:18:36.40 ID:8+Fp+FVG0: 漢字使えるようにしろよ
25 : 2024/10/08(火) 14:20:26.73 ID:wadj3lYCd: 紙に書いとけ
26 : 2024/10/08(火) 14:22:39.63 ID:Lft9Ubrm0: 確かに
もう数字は全部４５４５でええなってなる
28 : 2024/10/08(火) 14:25:09.30 ID:MdyTb+Oa0: 自分が忘れる問題あるからな
29 : 2024/10/08(火) 14:26:08.92 ID:iEB03Xe50: 大文字小文字数字記号強制だとこれらがすべて入っていないパターン排除されるから当たりやすくならない？😭
31 : 2024/10/08(火) 14:27:45.87 ID:b8i5996L0: 会社のPCログインするときとかな、
32 : 2024/10/08(火) 14:27:49.88 ID:TR8IMkeeH: 大文字入れろ

→パスワードの前後どちらかに大文字のAを1個だけ入れるやつ多発

皆考えること同じよ
33 : 2024/10/08(火) 14:28:08.27 ID:XTngvuoha: 要点はこう
「要求が高いと紙や付箋とかメモテキストで管理されてソーシャルハックの危険性が高いから、それなら総当たりに弱いほうがマシ」
34 : 2024/10/08(火) 14:28:46.63 ID:ciyxZjg00: 日本語使わせてくれよ
覚えやすい上に複雑に出来るわ