パスワードの安全な管理方法として「定期的にパスワードを変更する」「他人にパスワードを作成させる際に記号や数字を混在させるように求める」といったノウハウを実践している人は多いはず。しかし、これらの管理方法は実はセキュリティリスクの高いもので、内閣サイバーセキュリティセンター(NISC)やアメリカ国立標準技術研究所(NIST)のガイドラインでは非推奨とされています。 インターネットの安全・安心ハンドブック Ver5.00 第6章 (PD
gigazine.net/news/20240927-password-security/
秘密の質問はやめてほしい。親の旧姓とか昔通っていた学校とか、秘密じゃないし。対策としてパスワードと同じようにランダムな文字列を設定してる。でも、設定自体をなくしてほしい
最近ようやく減ってきたけど、アホが担当してんか一部企業はまだしつこく「パスワードの変更を」って出しよるからなあ。そうして裏で外部に資料出してたり紛失、窃盗で「データ漏洩のお知らせ」やからなホンマ。
日本語でパスワード作りたい。「寿限無寿限無…」とか…
最低文字数どころか最大文字数が8文字というところもけっこうあったので、サービス名+みっつくらいの単語の組み合わせという長いが憶えやすいパスワードに揃えることができない。
"物理的な紙のノートはインターネットに接続することが不可能…紙に記録されたパスワードを盗むには「現実世界での窃盗行為」という物理的な行動を起こす必要がある"
ブコメにもあるけど日本語使えたらだいぶ楽になるし安全度も高まると思うのだけど、まぁないわな
秘密の質問用の飼っていないペットの名前がある
外務省の在外邦人登録システムは3ヶ月に一度パスワード変更を要求してくるが、使うこと自体が年に一回(「帰国してません」の定期更新)しかないというくるったシステム。システム自体には意義があるけどね。
常々疑問なんだけど、パスワードを忘れるような状況で、秘密の質問を覚えてる人はいるんだろうか? 質問の選択肢 (母の旧姓、小学校など) すら覚えてないんだけど
適当な洋書の英文をパスワードにすることで、木の葉を隠すなら森の中に隠せ理論でセキュリティ強度を上げることができるのでお勧めです。ただし紛失に備えて同じ本の同じ版が容易に入手可能である必要があります。
ブコメの日本語パスワードっていうの面白そうだな
パスワードを紙に書くのはエンディングノートとかで残せたりするので、割といいんだよね。だからこそソーシャルハッキングの恐ろしさがわかるんだが……(ただの一般人ならそんな可能性はあんまりない)
パスワードポリシーについての推奨やガイドラインについては誤解が多すぎると思っている。スキルと立場で求められるパスワード管理のレベルが違うので一概にならない。
紙にアクセスできるならもう物理的に端末にアクセスできるわけで、確かにもう何とでもなるわな
主に法人ネットバンキング系が今も定期的なパスワード変更を強制してくる
パスワード一覧を紙に書き出してみようか。
日本語パスワードはやめた方がいいよ。IMが変換履歴を記憶するし、type=passwordのフォームはモバイルだと日本語キーボードが使えなかったりするし、使いにくかったよ。普通に長いパスワードとMFAがいいよ。
「NISCは「離席時に他人にパスワードを利用される」「パソコンをクラッキングされた際に根こそぎ盗まれる」という危険性からブラウザのパスワード保存機能を使わないように呼びかけています」
いつものやつ作っておいて、サービスごとに冒頭に違うの入れて使ってるけど、大文字小文字数字記号全部入れろとかあって、いつものを全部入れにしなかったことを悔やんでいる(でも時々記号ダメとかもあるよね?)
パスワードを忘れたときに秘密の質問の答えの入力が必須という謎のシステムがあったな。覚えてないよ。
なんか誕生日聞かれることが多い気がするんだけどアレもやめて欲しい
このバッドパターンは管理者側がなんか対策してる気になるためにやっちゃう奴なので、トラブルが起きた際に予見されたモノとして懲罰的賠償でもされないと直らんと思う。特に定期更新と秘密の質問。
スマホが指紋認証で開くように、Webサイトでも指紋認証で開けたらいいのに。金融関係とか。
これ関連は人間の記憶力と行動と心理を一切考慮していない浅はかさに満ち満ちていて、馬鹿じゃないだろうかと常々思っていた。この記事のレシピに疑問もないではないが、せめて愚劣な慣行は即廃止すべき。
とりあえず脆弱な秘密の質問を強制してくるAppleは滅んで欲しい。
データサイエンスを含めコンピュータサイエンスか関わるものであれば多分そうだと思うのだけど、管理部門はそれを許さない。/ NISCが一番アホなのではとさえ思う。
昔関わった開発案件が月一でパスワード書き換えるタイプだった。毎月環境に入れない人が続出して、テスト環境経由せずに実装進めるのが横行してしまった。
秘密の質問、せめて質問を自分で決められないと秘密にならんよな。母親の旧姓なんていくらでも調べられる/ランダムパスワードにしてるんだけど記号使えませんとかでそのままでは通らないことも多い
他社にITサービスを提供する弊社の社内システムも、そろそろこの最新の基準にアップデートしてくれませんかね。定期的な変更義務付け、記号数字混在義務付け、秘密の質問あり、3アウトですよ、ええ。
秘密の質問はどんな質問でもランダム文字列で埋めてる。こういうので→https://apps.hayu.io/random
人間の脳のリソースが無限だと勘違いしている人が作ったルール。64桁のランダム文字列を記憶出来る人はいいけどそうでない人が大半なんだから最初から脳に記憶させることは諦めるべき。
「パスワードの定期的な変更は」企業側の「やってる感」を出すためで、セキュリティ上は害悪。パスワードの変更は、漏洩した可能性がある場合のみで良いと思う。
自分は二要素認証があれば必ず設定。パスコードは、覚えられる基本形を個別に異なるルールで変形してる。記憶できるし使い回しにならない。秘密の質問は、SNSのプロフや投稿で推測されない『秘密の質問用回答』がある
記号を入れてね!大文字入れてね!8文字以上だよ!P@ssword
紙のパスワードリストを見られるのと離席時にパソコンを触られるリスクは大差なくない?
“「パソコンをクラッキングされた際に根こそぎ盗まれる」”Googleアカウントがクラッキングされたらほとんど全てのパスワードがバレちゃう。仕事での資料やパスワード通知とかもGmail。でも便利だから使っちゃう。
安直にパスキーを薦めない、ということも言われてほしい
もう時効だろうから書く。海外勤務時にかつての上司が「パスワード:亜怒民」とPCに付箋をつけて管理していた。外国人には漢字が読めないだろうといって。部下は誰も指摘できなかった。
サービス側もパスワードマネージャーを前提とした設計にするべきだよね。短すぎるパスワード文字数制限とかペースト出来ないパスワード入力欄とか論外