NIST「パスワードに記号や大文字を含めても無意味。とにかく15文字以上にしろ。秘密の質問もやめろ」

パスワードは、特殊文字などの「複雑さ」ではなく「長さ」を求めることを推奨 ～NISTがガイドライン更新 　セキュリティベンダーの米Malwarebytesは、NIST（米国国立標準技術研究所）がパスワード作成に関する最新のガイドラインを更新したことを報じた。 これは、企業・組織などパスワードを管理する側（つまり、パスワードに関するルールを作る運用する側）向けの 内容で、これまでによく言われてきた「複雑にする」ことを非推奨とするなどしている。 　更新されたガイドラインにおける、主な変更点は以下の通り。 特殊文字（&、%など）や数字、大文字の混在など「複雑さ」を求めない 複雑なパスワードを設定させようとしても、「password」が「Password1!」になるだけだとしている。その代わり、次に挙げるように文字数を増やすことを推奨する意図がある。 パスワードのみで認証する場合、長さを15文字以上に設定させる 多要素認証と併用する場合は8文字程度でもよいとしている。 定期的なパスワード変更は求めない 漏えいなど、セキュリティ侵害が明らかになったタイミングでパスワードを変更するべきとしている。 パスワードを忘れた場合のセキュリティの質問は禁止する パスワードを忘れたときのためにペットの名前などを問う「秘密の質問」を設定することがあるが、こちらも推測が容易であるため非推奨で、メールやSMS認証などを行うことを推奨している。 2025年10月21日 11:59 https://internet.watch.impress.co.jp/docs/yajiuma/2056544.html

秘密の質問は問いに関係のない答えを設定するのは当たり前

で、答えを忘れちゃうんだよ・・・

まだパスワード文化なのかよ パスキーベースにしろよ

15文字以上とかキツい。 しかも最近は３ヶ月以内に１回変更しろって。 こっちが忘れて入れなくなるわ！ もう生体認証とかそんなんにして欲しい。

パスワードの長さって総当り攻撃を想定した対策なのか？ 漏洩したら何百字でも変わらんだろ

こないだのフィッシング中国株購入事件のせいか？ 証券サイトが IDとパスワード入力後 メールで絵柄を２つ送ってきて それをサイトで選んでクリックした後 更にフリーダイヤル承認まで要求されるようになったぞ 面倒くさいの しかも出金とかするとさらに同じことをもう一回っていう

パソコンが勝手にパスワード覚えてくれてて勝手に入力されるけど、あの仕組みいまだによくわかってない

パスワード使い回すな、メモるな、って言われてるけどどう考えても無理やろ

アルファベット小文字と数字の組み合わせ10文字を 総当たりで5分で解けたとしても 15文字だと575年ちょっとかかるからな

20文字にしてたけど12文字以内でという所がちょくちょくあったので 12文字にしてる

ひらがなカタカナも使えるようにしてくれたら17文字で俳句にしたい

記号使えるところでも＠が使えないところがあったりしてめんどくさい

うちの会社は最低20文字以上を3ヶ月ごとに変更させる

秘密の質問に真面目に普通のこと書くのはあほだな。 職業＝アンパンマン とか書けばいい

文字数を12～15字以上にしてからトラブルがなくなったな

パスワードなんて総当たりなんだから記号大文字やっても意味ないな 4-8桁くらいまではどれだけやっても無意味やな

8桁しか設定できない日本のクソサイトどもいい加減にせーよ

問題は、記号入れろとか言ってるくせに 使える記号に結構制限がある事。

ハイフンやアンダーバーはダメとかあるよな

設計が古いサイトだと文字数上限が少ないところがまだ結構ある 8文字以下だの16文字以下だの

パスワード文化はまじで終わってくれ 企業の責任逃れ

ほとんどの銀行、ショッピングのサイトは複数回間違えると ロックされるから総当たり攻撃は使われないそうだ AIによると 総当たり攻撃がされるのは ロックされないサイト オフライン環境でのパスワード解析 暗号化ファイルやZIPの解読 以上AIの回答でした

利便性失ってどんどんクソ面倒になってきたな

パスワードマネージャー使いましょう 2要素認証に対応しているところではそちらも忘れずに Passkeyでもいいけど

わしはもうパスワード覚えてられないから 毎回再発行する羽目になっとるわいな