3/11/2017

デタラメなパスワードルール

Slashdotより。何度も何度も取り上げられるが...

Stack Overflowの創設者ジェフ・アトウッドが次のように考える:
パスワードルールがデタラメ(Bullshit)だ。うまくいかない。
彼らはあなたの理想的な支持者、本当にランダムなパスワード生成を使っている人に非常に不利になる。おい、聞いてくれ、そのパスワードはランダムに数字や記号が入っていなかった。僕は、数学の教科書をダブルチェックしたんだ。そう、もちろん可能だ。かなり確信している。
彼らは平均的なユーザをイライラさせた結果、非協力的になり、パスワードの安全性を損なう巧妙な回避策を使うようになる。彼らは大いに不完全で愚かだという意味で、しばしば間違っている。
真面目に一生のお願いだから、すでに無意味なこの恣意的なパスワードルールをやめてほしい。私の言うことを信じないなら、2016 NISTのパスワードルール推奨事項を読んでみてほしい。「組み合わせルールは要らない」それが正しい。しかし、私は一つ誤りを見つけた。それは、「デタラメな組み合わせルールは要らない」と書くべきだった。
あなたはどう考えますか?

そのデタラメなパスワードルール。どこにでもありそうだ... 「定期的にパスワードを変更する」も入る。

  • 8から32文字長でなければならない
  • 次の要素の少なくとも2つを含まなければならない
    • 少なくとも一つの文字(大文字あるいは小文字)
    • 少なくとも一つの数字
    • 少なくとも次の特殊文字から一つ: # $% ' ^ , ( ) * + . : | = ? @ / ] [ _ ` { } \ ! ; - ~
  • 前5回までと異なるパスワードでなければならない
  • ユーザIDと一致してはいけない
  • 3つ以上の同一文字を含んではならない(例えば、111あるいはaaa)
  • 3つ以上の連続文字を含んではならない(例えば、123あるいはabc)
  • 金融機関の名前を使ってはならない(例えば、JPM、MORGAN、CHASE)
  • 一般的に使われるパスワードであってはならない(例えば、password1)

Hacker News