あのパスワード規則、実は失敗作だった - WSJ

パスワード管理に関する有名な冊子の執筆者ビル・バー氏(72)は、あれは失敗作だったと告白している。  2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の中間管理職だったバー氏は「NISTスペシャルパブリケーション800-63 別表A」を作成した。8ページのこの文書は、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう...

Twitterのコメント(242)

1年前にMSが過ちに気付いて指摘しとったやろ /
そういえば、この記事ってパスワード定期変更推進派って何かコメントしてたのかな。
忙しくて全然調べてなかった。
ユーザパスワードに有効期限を設定するコマンド、chageって、いつ頃に実装されたんだろう? ちょっと気になる。というのも、パスワードの定期変更ポリシーが考案されたのって、2003年だそうなので。 >>
パスワードの英数記号やら定期変更やら、考案者自身が誤りを認めて後悔しているのね。Twitterのデマ訂正と同じく、こういうものもなかなか広がりづらそうだ。
もう、これ、ガンガン知らせなあかん!もう、毎日、会社のPCにログインしようとしてタイプミスして、PC破壊しかけたこと何度もあるので…
📑無駄ではないかと長らく思っていた。「規則のせいでパスワードが覚えにくい」うえに、「リセットが必要になると、さらに時間がかかる」ためだ。
しつこくパスワード変更を求めてくる金融機関などの担当者の皆さんに熟読していただきたいです。
うちの会社のパスワードルールも見直して欲しいわ。3ヶ月ごとに変える意味とかないやん。/
まったくだ。いまはこれを盲信しているセキュリティ規則が標準になっている。きっと、あと5年は残っているだろう。
間違っていた事が判ったのに変更出来ない…慣例ってのは面倒すぎる
「いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない」。。。銀行のサイトは未だにこれうるさいのよねぇ~ /
管理規則が緩くなると良いなぁ。緩い方向には動きたがらない企業文化がありますが・・・
まーじーかー。
でも、議論湧きそうだね。
結局、パスワードの決め方で、参考になるのはダイスウェアの考え方かな?「あのパスワード規則、実は失敗作だった」
不正ログインに震えてパス変更したい人はこの記事を参考にするといいと思う
– ウォール・ストリート・ジャーナル日本版
私も2パターンのパスを90日ごとに入れ替えてただけやったな
最近興味深かったニュース。ブルートフォース攻撃に対しては、桁数増やさないとあんま意味ないもんな。推奨事項を編集ないと。
今更そんな事言われましても…。デフォルトで記号パスワードを要求してくるMySQL 5.7は面倒だし、定期変更を促す某銀行さんも面倒なんだが。今後改善されるかな。
知ってた。一定期間で変更する必要は全く無いよね。ランダム文字列も、覚えにくいから結局どこかにメモすることになるし、逆にそれどうなの感ある
「今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ」『あのパスワード規則、実は失敗作だった』
今さらこう言っても老人たちは考えを変えないだろうから企業ではいつまでたっても定期的なパスワード変更がされ続けるだろう
後悔していると。 /
これ!
パスは長い方がブルートフォースから守れるし、日本語をアルファベットにすれば、ディクショナリーアタックも効かない。

英数記号を混ぜてるかは攻撃者からは分からない。
日本でこれが一般化するにはあと何年・・
そんなに自分を責めなくても笑
少なくとも、自力でパスワードを破ろうとする恋人なんかには有効だったんじゃないでしょうか。
「今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。」
定期変更だけでなく大文字や記号などを混ぜて使わせるのも失敗だったと。まあそうだよね。
確かに苦労しただけでした(^_^;)
「おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけ」→
記事内容とは関係ないけど、パスワードに文字数上限を設けてるサイトは今すぐ改修してほしい。脆弱性の塊だし。
うちの会社のITとかに熟読して1000回写経させたい記事だった( ・ὢ・ )つ
170809 WSJ いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。
「あのパスワード規則、実は失敗作だったー小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった」
まあ、そうだわな。人間の可読性が脆弱性の原因ではなく、ブルートフォースアタックに対する耐性が大事って話。
マジやめてくれ :
日本では一度「正しい」として導入されたルールは、間違っている事が判明してもそのまま適用され続ける事例が多く感じる。
あーやっぱり。。さて日本が事実を受け入れるまで何年かかるかな?
そうでしょうとも_
"90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だという。「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない。"
いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」
「「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない」 /
8文字とか13文字とかしか入らない所が多いのも困る
だよねー。私は1Passeordでできるだけ長〜い文字列で管理中。
信じられないのは「パスワード10文字以内」なんてサイトが存在することだ。
新しいパスワード生成サービスを作るチャンスでは >>
弊社の情報システム部にも言うてくれ!ほんま、数ヵ月おきに変更させられるけどこのレポート通りパスワード変更のミスをやってもうてる
てめぇのその失敗でクソ面倒な思いを…。忘れた被害者も数知れずであろう。
失敗はしょうがないとして、さっさと軌道修正せんかい! =>Windows
弊社の本社情シス担当に聞かせたいですね…
IPAさん、出番ですよ。
/
マジかー、ここ2年くらいのヨメの名前羅列する方が強度高いのは納得
まあ、世につれ・・って部分もあるので、あまり深刻に考えなくてもいいような気もしますが。パスフレーズって概念は結構前からあるけど、それにシステムの側が普通に対応できるようになったというところが大きいのでは。
誤:
「パスワードに記号や大文字や数字を盛り込み、定期的に変更する」

正:
 ・パスワード期限なし。変更すべきなのは、盗ま  れた兆候があった時だけ。
 ・特殊文字なしでいい。
 ・おかしな文字列より長く覚えやすいフレーズ。
確かに、定期的変更を強制させられる会社のパスワードが一番短いな。二桁以下のパスワード長なんて、会社以外では使ってない。個人で使っているものなんて、パスワード管理ソフトがないと記憶できないくらいには長い。
あの規則というのは単純な単語を使わないなどといったパスワード作成の際の推奨規則のこと。
発案者すら否定!! ISMS/Pマークは「次回更新時廃止します」「現行の認証済み環境も、定期的変更は止めて結構です」を今月中に宣言しないと永久に信頼されないよ? /
この手の報道何度もされてて、毎度会社のセキュリティ方針が時代遅れなのに気づかされる
厄介なことに、日本のIT現場では、ITは宗教なので、一度決まった教義はよほどの事がない限り変更されない。米国以上に、残り続けるだろう。
愚かなこった。
前も書いたけどもう一度。

普段から最新のパッチあてろと言ってくる情シスは、自分の知識も最新に更新して、ただちにパスワード定期変更とかのルールを廃止すべき。
昔、大学の講義でこのパスワード規則を是として教えちゃったよw
あれに疑問を持たなかった人は全員センスがない。
それは判ったんだし、満足してる。
組み合わせより長さが重要だったってことで。
"パスワードに数字・記号・大文字を組み合わせるのは、セキュリティーにほとんど役立たず使い勝手に悪影響を与えるだけ"/"パスワードを変更すべきなのは、盗まれた兆候があった時だけ" — 早く広まってほしい。
個人が人類の代表のように振る舞い、成功とか失敗とか決める事自体、おかしい話なのが解ってないのかな.....。
パスワードの価値の是非は、ユーザー個人が決める事です。
今までの苦労はいったい…
パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい。
@TwitterJP のとおり、「大文字、小文字、数字、記号を組み合わせたもの」よりは長いパスワードのほうが良いので、ご検討いただければ幸いです。
FB連携の不具合確認を兼ねてもう一度。
朗報には違いないけれど、今までの手間と苦労はなんだったのか、という気にもなる。
> 人類が1日にパスワード入力に費やす時間は計1300年相当
今さらこんなこと言われてもだぜ。大文字、数字、記号が混ざったパスワード、スマホに入れづらいのが一番の難点。もうやめる。
今更そんなこと言われてもな・・・|
"人類が1日にパスワード入力に費やす時間が計1300年相当を超えている" "バー氏は、自身のパスワード規則で「人々は怒り狂ったうえに、何をしても良いパスワードを得られなかった」と話している" / "あのパスワード規則、実は失敗作…"
「記号や大文字や数字を盛り込み、定期的に変更する…」
いい加減これなんとかなって /
要するに長けりゃ良いんです。
「Tr0ub4dor&3」よりは、「dogcatsheavyraining」の方が破られない。|
だいぶ前から、一定の規則に従ってサービス毎に作る「妙な短文」にしてる。けど、ある意味では単純だからなぁ。そろそろ要再考かも。 /
大至急全サービスはパスワードポリシーを変更しろ!覚えやすいパスワード利用を許可してくれ!!90日毎にパスワード変更(しかも過去に使ったのはNG)みたいなクソルールを廃止してくれ!!
すごい /
ぬぬぬ、記号や大文字混ぜても、大してセキュリティ強化されてなかったのか…複数単語をひと続きで入力し、文字数増やしたほうがベターとは意外
あの馬鹿馬鹿しいルールはパスワードを決めるのは人間であり、人間はランダムで長い文字列をいくつも覚えることはできず、人間は忘れっぽい生き物だということを理解していなかった

あのパスワード規則、実は失敗作だった
@WSJJapanより

早く言わんか〜い(苦笑
"使われやすいパスワード500種類を盛り込んだドレス"これいいなぁ。Tシャツにして出してくれないかな /
Pマークもはよ

>世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず

>おかしな文字列より長く覚えやすいフレーズの方が支持されている
栞: "パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい。"
「おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。」 /
/ 気になるのでもう少し詳細に読みたい
「人々は怒り狂ったうえに、何をしても良いパスワードを得られなかった」DAYONE!!!!
これをとっても読んで欲しい人たちがいるんだけど、そういう人に限って読んでない。
日本の国家中枢・企業のどれくらいがこのニュースを知って受容して方向を検討し直してくれるだろうか。悲観的な観測しか出来ねえ。
ほんとなんとかして欲しい --
パスワードに格納できる場所の長さの設計が大事になってくる。現在はハッシュ化・暗号化されて格納するケースが多いと思うけど、より長い場所の確保が必要だ。 /
文字数が増えるほど、加速度的に解読は難しくなる。短いランダム文字列より長い単語の組み合わせの方が良い
パスワード入力に費やす無駄な時間がすごいなw QT @akibablog: あのパスワード規則、実は失敗作だった - WSJ
パスワードは、盗まれた兆候があるときだけ変更すればよい!
大文字と記号は本当にやめてほしいと思ってたけど…>
「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかる。これに対し、「Tr0ub4dor&3」は3日で破られる可能性がある。
550年 vs 3日。→「単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい 」/ WSJJapan
まじかよ
「文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためだ。」
定期変更はクソみたいな規則だと思ってた。さっさとみんな変えてほしい。 |
未だに以前の法則通りな会社多そう。
これめっちゃ面白いな……今年いちビックリしたかも
"今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。" 長い文字列の方が結果的には安全なのか。 / "あのパスワード規則…"
"既に退職したバー氏は「今では自分がしたことの多くを悔やんでいる」と話す。" おいw
パスワードの定期変更は悪
数字・記号・大文字の組み合わせ、2003年に考案した人物が後悔
パスワードの定期更新と文字制限ってリスクしかないから止めてほしい… /
影響範囲の広さ。 /
|| 記号や数字・大文字を含む組み合わせより、複数のフレーズの組み合わせがパスワード強度が高い、と規則を作った当の本人が悔やんでいるという話。昔はVARCHAR(8)とかやったからな…
これは認知されて広まって改変されるまでまだかかりそう
短い不規則なパスワードを定期的に帰ることは無意味で憶えやすい長いパスワードが有効
パスワードを更新するのは破られたと思ったらときでいい
数字や記号を混ぜた短いパスワードより、英単語を4つ並べた長いパスワードの方が強い /
この話は、次、要件定義するときは、必ずリファレンスとして出そう!
そーしよー!

『 - WSJ』
うわあああああああああ!!まじっすか…。「数字・記号・大文字の組み合わせ、2003年に考案した人物が後悔」「今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている」。◆
4単語の組合せもそれはそれで面倒やんな
マイクロソフト のコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。
つまりGoogleの以前使ったパスワードを使わせないのもクソでは
「単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい。文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためだ。」 /
いまさら後悔されても、ねぇ。
パスワードの古い常識(特殊記号+数字まぜる)しか知らなかった・・・自身が覚えやすい文章で長い方が破られにくいのね(技術的に)・・・他人に覚えられちゃうかは別として
定期的な変更も、大小文字記号の組み合わせも意味なくて、歌詞とかの覚えやすく長いフレーズで、盗まれた兆候があるときだけ変更すれば良いと!
- WSJ
最近は文字数が多ければそれでいいって流れになってるね。8文字パスのサービスとかハッキングしてくださいって言ってるようなもの。
過度に(?)効率を重んじると人的な部分で脆弱性が出るんだなぁ。脅威がわからなければ、覚えやすいパスワード使いまわした方が効率よさげに思えるのは理解できる|
やはり漢字パスワードの時代が来るのか……!
わんわん教授が言ってた、パスワードは身の回りにあるものの頭文字を取るといいって言うのは正しかったんだな。
例えば鉛筆と時計と鍵が近くにあったら"epttkkg"とか
これは広く拡散されるべき文書じゃないかな。
これに倣ってるのか20文字のパスワードも入れられないサービスが割と有って辛い
- WSJ
「今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ」:あのパスワード規則、実は失敗作だった(WSJ)
後半でフォローされてるけど、どれだけ周到なルールを作っても運用するユーザーが雑に扱ったら意味ないよねって話だと思うんだ。 /
覚えることを前提にせずパスワードマネージャーを使うといい。パスワードの使い回しは論外。
そうなの?

「小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった」
林信行さんがNBC Newsの記事を翻訳ツイートされていたけど、日本語の記事が出ましたね。
覚えやすい長いパスワードがいいのね
「定期的にパスワードを変更する」がセキュリティ向上に役立つと信じている人とは分かり合えない
パスワード自体が失敗で、生体認証に早く移行すべき
みたいなこと言ってる人もいたな。
それもこの人だったかもしれないけど。
わし 気づいてたから 数年くらいパスワード変えてないけど身分証ぱくられても突破不可である
本人が確認できればいいんだから生体認証が完璧にできればいいんだけど、細胞ってのは数か月で入れ替わってしまう。何を根拠に本人とすればいいのやら。 /
パスワードよりバズワードの方が興味あります。 /
この件はかなり前から言われているけど、ちっともポリシーを変えないどこかの会社は、本気でバカじゃないかと思う。いつまで付き合うべきなのだろう? /
徹底的に容赦無く滅多斬りだねw ('ω') /
どーしてくれんねんw
【ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。】
おせーよ・・・これ参考にした結果、利便性無視のクソみたいなセキュリティ対策が増えたんだよな
おいおい、あのルールは失敗だったわけだなw

記事本文: あのパスワード規則、実は失敗作だった - WSJ

関連記事

画像で見る主要ニュース