インフラセキュリティの処方箋
第37回 2017年8月~見直されるパスワード規則~特殊文字も変更間隔も規定しない現在の標準
筆者もよく忘れ,
まったくもって他人事ではないと感じ,
パスワード規則のおおもとは, 2003年に作成されたNIST SP800-63 Appendix A
米国の標準化機関である NIST
- NIST SP800-63 Version 1.
0.2 電子認証に関するガイドライン - Appendix Aに,
パスワード規則に関する記述があります - NIST SP800-63-2
- Appendix Aに,
パスワード規則に関する記述があります
SP800-63-3でなくなった 「パスワード規則」 に関する記述
現時点の最新版はSP800-63-3であり,
SP800-63-2までを手掛けた一人のWilliam E. Burr氏は,
今守るべきパスワード規則の指針は?
現在の計算機の演算能力とNISTの文章を考慮するならば,
- 記号を無理に使うよりは,
覚えやすく 「長い」 こと - パスワード変更は
「盗難など, 第三者に使われた可能性を認識した」 とき
ただ,
- サービスごとにパスワードを変える
というのは必要になるでしょう。
なお,
ちょっと計算~アスキー文字で大文字小文字数字記号を入れた場合の組み合わせ数と長い文章っぽいものを英単語で作るような想定の組み合わせ数
アスキー文字で大文字小文字数字記号
一方で,
記号ありで覚えにくい2文字よりも,
2文字とか3文字はさすがに短すぎですが,
筆者はパスワードを専門に研究しているわけではありませんが,
バックナンバー
インフラセキュリティの処方箋
- 第44回 2018年3月~修正できない脆弱性対応,繰り返される歴史,そして「あたりまえ」を実践すること
- 第43回 2018年2月~いまも発見される,DLL読み込みに関する脆弱性~どう悪用されるのか?&対処は?
- 第42回 2018年1月~MeltdownとSpectre~現代的なCPUのしくみに根差した脆弱性 / 外部ネットワークを使うためのちょっとした注意
- 第41回 2017年12月~ROBOT:19年前から潜んでいたTLS実装の脆弱性
- 第40回 2017年11月~利用が容易なOffice脆弱性が発見された2017年11月~PoCも出ました
- 第39回 2017年10月~今月も脆弱性祭り~わかっちゃいますが尽きる気配はまったくありません
- 第38回 2017年9月~今月は脆弱性祭り~どうしてこんなに出てくるのか~
- 第37回 2017年8月~見直されるパスワード規則~特殊文字も変更間隔も規定しない現在の標準
- 第36回 2017年7月~ウィルス付きメールにご用心~マクロ付き文書ファイルと脆弱性を突く文書ファイル
- 第35回 2017年6月~EOLなWindowsへの修正ファイル提供と,DLLプリロードの問題