アカウント名:
パスワード:
つまるところ、パスワードの禁則が* xx文字以下はNG* 強度チェッカーでNG* 辞書マッチでNG + 一般辞書単語 + よくあるパスワード例 (new)ってことだよね?
なので、そこまで目新しいとも思わないけど...# クラック向けパスワード辞書とかあるし、それでのチェックしてる運用自体はなくはないと思う。
まあ、大手がやるという意味では新しいかな?Twitterが、弱いパスワード弾く運用やってるらしいとは聞くけど...
こっちに書いたけど [security.srad.jp]違うよ、ぜんぜん違うよ。従来の規則のいくつかを廃止したところが画期的。素人と日本人はとにかくなんでもかんでも縛れば縛るほど強固になるとか考えがちだけど決してそんなことはない。
すごい遅レスですが、ありがとうございます。
ただ、私もすべて適用されるとかは思ってなくて、こういう「よくあるチェックルール」が増えた(適用は今回のだけ+α)」という考えでしたので、まあそこは齟齬はない所です。
マイクロソフトはそこまでバカじゃない。マイクロソフトのパスワードに関するガイダンス [microsoft.com]ぜひ全文読んでもらいたいがとりあえず見出しだけ抜き出すと
1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)2. 文字の組み合わせ (複雑さ) に関する要件を廃止する3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする
で、この後に初めて
4. わかりやすい一般的なパスワード使うことを禁止する
と出てくる。さらに続き:
5. 業務アカウントのパスワードを社外他のアカウントに使いまわさないようユーザーを教育する6. 多要素認証を必ず利用するようにする7. リスクベース多要素認証の方法を検討する
載せるべき最新の弱いパスワードの例を広く募集して、クラッカーの皆さんに手伝って貰うことで、クラック向けパスワード辞書をアップデートしている辺りが新しい?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
運用によるけど (スコア:1)
つまるところ、パスワードの禁則が
* xx文字以下はNG
* 強度チェッカーでNG
* 辞書マッチでNG
+ 一般辞書単語
+ よくあるパスワード例 (new)
ってことだよね?
なので、そこまで目新しいとも思わないけど...
# クラック向けパスワード辞書とかあるし、それでのチェックしてる運用自体はなくはないと思う。
まあ、大手がやるという意味では新しいかな?
Twitterが、弱いパスワード弾く運用やってるらしいとは聞くけど...
M-FalconSky (暑いか寒い)
Re:運用によるけど (スコア:2, 興味深い)
こっちに書いたけど [security.srad.jp]違うよ、ぜんぜん違うよ。従来の規則のいくつかを廃止したところが画期的。素人と日本人はとにかくなんでもかんでも縛れば縛るほど強固になるとか考えがちだけど決してそんなことはない。
Re:運用によるけど (スコア:1)
すごい遅レスですが、ありがとうございます。
ただ、私もすべて適用されるとかは思ってなくて、こういう「よくあるチェックルール」が増えた(適用は今回のだけ+α)」という考えでしたので、まあそこは齟齬はない所です。
M-FalconSky (暑いか寒い)
Re:運用によるけど (スコア:1)
Re:運用によるけど (スコア:3, 参考になる)
マイクロソフトはそこまでバカじゃない。
マイクロソフトのパスワードに関するガイダンス [microsoft.com]
ぜひ全文読んでもらいたいがとりあえず見出しだけ抜き出すと
で、この後に初めて
と出てくる。さらに続き:
Re:運用によるけど (スコア:1)
がいいなぁ。
なにがいいって、Microsoftぐらいの規模の所が明言してくれたことがね。
> 1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)
最近は試していないけど、outlook.comって最大16文字なんだよね。
もう少し増やしてほしい。
# yes, fly. no, fry.
Re: (スコア:0)
載せるべき最新の弱いパスワードの例を広く募集して、クラッカーの皆さんに手伝って貰うことで、クラック向けパスワード辞書をアップデートしている辺りが新しい?