少なくとも 1 つの大文字、記号、数字を使用する必要があります。あるいは、待ってください、もしかしたらそうではないかもしれません。
米国立標準技術研究所 (NIST) の専門家によると、長年にわたって私たちの頭蓋骨に叩き込まれてきたパスワード強度要件の一部は、実際にはそれほど役に立たないそうです。
さらに悪いことに、逆効果になる可能性もあります。
そこで同研究所は、セキュリティガイドラインの新しい草案2017 年 5 月 11 日、セキュリティ専門家を対象として、私たちが生活の必要な一部として受け入れてきたパスワード要件に対するいくつかの大幅な変更を推奨しています。
何が違うのですか?まず、専門家は、ユーザーに数字やランダムな文字を含むパスワードの作成を強制する必要はなくなったと述べています。
「[オンライン] サービスは、[パスワード] の複雑さを増すためにルールを導入しました」と付録草案には書かれています。 「これらの最も注目すべき形式は合成ルールで、ユーザーは少なくとも 1 つの数字、大文字、記号などの文字タイプを組み合わせて作成されたパスワードを選択する必要があります。しかし、侵害されたパスワード データベースの分析により、その利点が明らかになりました。このようなルールの影響は当初考えられていたほど重要ではありませんが、使いやすさと記憶しやすさへの影響は深刻です。」
基本的に、# や & でいっぱいのパスワードは覚えにくく、実際にはそれほどメリットがありません。その代わりに、NIST は、8 文字以上の任意のパスワードを、キャッチ付きで選択できるようにすることを推奨しています。
マッシュ可能な光の速度
「誰も推測できないでしょう。」 クレジット: ゲッティ
問題は、ユーザーが選択したものはすべて、既知の一般的なパスワードのリストと比較する必要があるということです。盗まれたパスワードのリスト存在しており、電子メール アカウントのキーが「monkey」のようなものである場合、NIST はそれを拒否する必要があると述べています。
希望するパスワードを前述のリストと比較する作業は誰が行うのでしょうか?心配しないでください、それはあなたではありません。その代わり、理論的には、アカウントを作成しようとしているサービスがその責任を負うことになります。
NIST はデジタルの窓から他に何を投げ出すのでしょうか?それは、パスワードの強制リセットと呼ばれる、少し面倒なことです。そうです、データ侵害の有無に関係なく、ユーザーにパスワードの変更を義務付けるのは逆効果であることが判明しました。もちろん、企業がハッキングされたことを発見した場合でも、ログイン情報をリセットするよう求められるはずです。
NIST の専門家は、私の最大の悩みであるセキュリティに関する質問にも取り組んでいます。 「どこの高校に通っていましたか」など、ユーザーが入力を強制される事前に設定されたセキュリティの質問は、単純な Google 検索を通じてハッカーによって簡単に発見されます (かつてサラ・ペイリンのように)痛いほど発見された)そして完全に廃止されるべきです。
「また、検証者は、記憶された秘密を選択する際に、加入者に特定の種類の情報(たとえば、「最初のペットの名前は何でしたか?」など)の使用を求めてはなりません」と草案は宣言的に述べています。ニース。
要約すると、特殊文字は必要ありません。パスワードの強制リセットも必要ありません。また、固定された (簡単に推測できる) セキュリティの質問もありません。私たちが与えられたパスワードのセキュリティに関するアドバイスはすべて間違っているかのようです。
使用についてのその栗を除いて二要素認証。それでも絶対にそうすべきです。