パスワードを忘れた? アカウント作成
13376451 story
セキュリティ

NISTの「パスワードには記号や数字を加え定期的に変更する」ルール策定者、間違っていたと後悔 126

ストーリー by hylom
諸悪の根源と言われても仕方が無い 部門より
あるAnonymous Coward曰く、

米国立標準技術研究所(NIST)で「パスワードには英大文字・小文字・数字・記号を使う」「定期的にパスワードを変更する」といったパスワード設定規則を作成したビル・バー氏が、このルールはほとんど間違っていたとして後悔しているという(ウォール・ストリート・ジャーナル)。

定期的にパスワードを変更することが無意味なことは昨今では頻繁に説明されており、セキュリティについて学んでいる人であれば意味が無く利用者に不便を強いるだけのルールであることはもはや常識だろう。

また、現代ではパスワードクラック技術が向上しており、そのため「英大文字・小文字・数字・記号を使った短いパスワード」よりも、「複数の英単語を単純に並べた文字数の多いパスワード」のほうが安全度が高いという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • よくある勘違い (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2017年08月10日 17時23分 (#3259520)

    無意味(というか有害)なのは、「定期的なパスワード変更を(システム側で)強制すること」です。

    • by Anonymous Coward on 2017年08月10日 17時31分 (#3259529)

      うちのシステムがそれだ。
      三ヶ月に一回変更しないとログインできなくなる。
      パスワードに単語らしきものが入っていると弾かれる。
      変更履歴を持っていて一度使ったパスワードは二度と使えない。
      パスワードを忘れた場合の再設定は書類を書いて対面認証。

      そりゃ、ポストイットに書いてディスプレイに貼り付けが横行するわ。

      親コメント
      • 弊社の場合 (スコア:3, 興味深い)

        by Anonymous Coward on 2017年08月10日 20時02分 (#3259638)

        確かに高そうだ。毎日数十回もパスワードを入力させられてる弊社だけでも、会社全体では一日あたりで延べ40日分パスワード入力に時間を費やしてるって試算があった。
        ちなみにこれはセキュリティ委員会で「いくらなんでも無駄すぎないか」という主張の補強に使われたのだが、「セキュリティは全てに優先する」ということで流されてた。
        ・・・ところで、同じパスワードを毎日数十回も打ち込むのって、それはそれでセキュリティリスクないのかなあ?

        親コメント
      • 3個のコメント が現在のしきい値以下です。
typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...