【悲報】パスワード設定、記号･数字の混合は「推奨しない」と米機関発表

2025年11月09日23:40

カテゴリ:
ニュース

タグ：: #セキュリティ

1:田杉山脈 ★ 2025/11/07(金) 02:05:31.07 ID:bV4bPLkT

米国立標準技術研究所（NIST）は今夏、パスワード認証の指針を約3年ぶりに更新した。記号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた。攻撃側の技術進化によって効力が薄れているためだ。企業はパスワード設定を再考する時を迎えている。

NISTのガイドラインは法的拘束力はないものの、業界標準として認識されることが多い。2017年に定期的なパスワード...
https://www.nikkei.com/article/DGXZQOUC205YN0Q5A021C2000000/

スポンサードリンク

3:名刺は切らしておりまして 2025/11/07(金) 02:26:23.41 ID:aIKNpSN5

おせーよ

7:名刺は切らしておりまして 2025/11/07(金) 02:58:13.98 ID:ThElaOfW

じゃあどうしろと

11:名刺は切らしておりまして 2025/11/07(金) 04:01:22.76 ID:x5bPb1WO

>>7
128桁の数字と文字な

8:名刺は切らしておりまして 2025/11/07(金) 03:35:00.79 ID:9h0tybtL

な？こいつらの言ってる事ブレブレだろ？意味ねぇんだよパスワードなんぞ
秘密公開鍵と署名に敵うものないンだわ

9:名刺は切らしておりまして 2025/11/07(金) 03:38:32.92 ID:kw18eWe+

有料会員じゃないと意味不明の記事だけど混合を意識すると余計簡単なワードにしがちだからってことらしいな

10:名刺は切らしておりまして 2025/11/07(金) 03:44:48.50 ID:0WzLrUpk

一番問題なのは何度でも試せるようなシステムだろ
日本企業は何度もこれでやらかしてアホかと思うわ
まあ実際アホばかりだから低迷してるんだろうけどな

12:名刺は切らしておりまして 2025/11/07(金) 04:13:57.75 ID:dBJosbdx

16桁の英大文字小文字数字だけで実用上は問題ないそうだ

13:名刺は切らしておりまして 2025/11/07(金) 04:43:33.94 ID:tZY48Uz9

自分で覚えて偽サイトに入力するくらいならブラウザのパスワードマネージャの方が安全なのに、
ブラウザは危険！と言ってフィッシングにかかる人間の多さ

37:名刺は切らしておりまして 2025/11/07(金) 11:24:24.18 ID:eOZ0iXA5

>>13
フィッシング防止にはならんだろ

46:名刺は切らしておりまして 2025/11/07(金) 14:07:44.05 ID:tZY48Uz9

>>37
ブラウザの自動入力なら人間がフィッシングを見抜けなくても偽サイトは防げるってこと
自分で覚えた人間はAmaz0nドットコムに入力して引っかかるが、
ブラウザは違うサイトに入力しない

14:名刺は切らしておりまして 2025/11/07(金) 06:29:43.23 ID:a/sl4SE2

３４１９６９６

18:名刺は切らしておりまして 2025/11/07(金) 09:28:50.63 ID:WGf7vYxM

結局のところ長さこそ正義

19:名刺は切らしておりまして 2025/11/07(金) 09:29:45.20 ID:Qxo2yoES

いや硬さだろ？

20:名刺は切らしておりまして 2025/11/07(金) 09:33:47.80 ID:GKrB6d95

記号を含めた複雑なパスワードが効力が薄れてるから推奨しないってｗ
じゃあもうパスワードは意味ありませんと言ってるようなもんやろこれ

23:名刺は切らしておりまして 2025/11/07(金) 10:20:38.81 ID:X8ghRYce

>>20
実は真面目にそういうこと。

21:名刺は切らしておりまして 2025/11/07(金) 10:12:11.65 ID:069DdfwK

あとは、指紋か、顔認証か
必ず、スマホでの一時的パスコードか

22:名刺は切らしておりまして 2025/11/07(金) 10:18:49.02 ID:F6vwofw/

一気に生体認証必須とすればいいのに

24:名刺は切らしておりまして 2025/11/07(金) 10:49:04.94 ID:+a3ENaaD

今は、２段階認証かパスキーだろ

40:名刺は切らしておりまして 2025/11/07(金) 11:58:57.56 ID:Bo8XeCxG

大切なサイトは二段階認証かパスキー必須だと思うが
どうでもいいようなサイトは複雑なパスワードさえ必要ない

52:名刺は切らしておりまして 2025/11/07(金) 17:06:28.16 ID:E81a0FFP

ジェネレータで作ったパスで、スマホでどうやってその記号を出したらいいのか分からない記号が混じってるのがある

73:名刺は切らしておりまして 2025/11/09(日) 19:09:45.11 ID:xIa89d0F

指紋とか顔でええやん

74:名刺は切らしておりまして 2025/11/09(日) 22:04:06.14 ID:bK0gVtAc

生体認証かね
しかしそうすると機器跨いだ時にどうするのかと
スマホ無くしたらおしまいにならない？

元スレ: https://egg.5ch.net/test/read.cgi/bizplus/1762448731/

タグ：: #セキュリティ

スポンサードリンク

オススメ記事一覧

記事と関係のないコメント、連投は削除規制対象です

1 【ニャ帝·ᴥ·】 2025年11月09日 23:47 ID:dlcfrnPh0

ガチガチにすると、かえって可予測性が上がりやすくなるということかしらね
シャドーITと似たアナロジーだね

ニャ。

2 名無しのプログラマー 2025年11月09日 23:56 ID:3pU8.HpA0

じゃあどうすればいいんだ？

3 名無しのプログラマー 2025年11月10日 00:00 ID:Kb.u4fCO0

毎回パスワード変えさせるのいい加減やめろ

4 名無しのプログラマー 2025年11月10日 00:00 ID:G80K1mXf0

変えることができない生体認証も危険だぞ。

5 名無しのプログラマー 2025年11月10日 00:01 ID:AwT.VLzE0

文字種より長さというのは前からずっと言われてたからなあ
ただ、長いと覚えられないしミスもあるから、実用上は覚えられる範囲のパスワードを数回繰り返して伸ばすとかになるか

6 【ニャ帝·ᴥ·】 2025年11月10日 00:03 ID:JZOnqA560

パスワードの要件としての「名目的なエントロピー」を上げても、人間が記憶できる「実質的なエントロピー」は上がるわけではない

名目エントロピーの増加に対して、実質エントロピーの変化は逆U字のカーブを描く形になっていて、今回のパスワード要件がちょうど実質エントロピーの極大点ということですかね

ニャ。

7 名無しのプログラマー 2025年11月10日 00:09 ID:e.mqbrWz0

俺がパスワード作る時ってその日の日付と時間秒数と自分の名前と自分の好きな言葉をシャッフルして入れ替えてオリジナルの文字列にしてるけどそれでも突破されるのかな？

8 名無しのプログラマー 2025年11月10日 00:12 ID:ES.PuNh50

記号と数字と大文字を組み合わせないと登録できないサイトほんまゴミ

9 名無しのプログラマー 2025年11月10日 00:16 ID:nmqF2wRm0

>>1
パスワードを使用する機会が多くなりすぎてるし複雑なパスワード要求されるからみんな簡単に覚えられるパスワード使う
もうこのパスワードっていうアプローチが環境にあわなくなってる
解決策は多要素認証とかなんだろうね

10 名無しのプログラマー 2025年11月10日 00:17 ID:Fh.ZCi.M0

どんな複雑な文字列のパスワードにしても
コンピューターよりも頭が悪くて感情的な判断や簡単に認知バイアスに引っかかる人間という脆弱性を攻めて「本人にパスワードをお漏らしさせる」ほうが簡単なんだもん
パスワード入力式のセキュリティ自体がもうオワコンなんよ

11 名無しのプログラマー 2025年11月10日 00:17 ID:nmqF2wRm0

>>6
複雑なもの要求されたところで逆に記憶できなくなるからね
1dh@79&Z
なんて覚えてられないでしょ

12 名無しのプログラマー 2025年11月10日 00:18 ID:nmqF2wRm0

>>7
君突破できないでしょw

13 【ニャ帝·ᴥ·】 2025年11月10日 00:24 ID:JZOnqA560

>>9
長いパスフレーズをマスターパスワードとしたパスワードマネージャーとかでもいいんじゃないの？
仮想通貨のハードウォレットも、所持認証の側面もあるけど、そんな感じの仕組みだよね

ニャ。

14 名無しのプログラマー 2025年11月10日 00:24 ID:woVykGo.0

パスワードの安全性の最低限は8桁らしいね。
1番良いのが16桁以上みたいだけど、16桁の英数字や記号混じりになったら覚えられる自身がないw

15 名無しのプログラマー 2025年11月10日 00:27 ID:n68gG8J40

大企業でも狙われたらどうにもできないのに個人で対策

16 名無しのプログラマー 2025年11月10日 00:30 ID:flw0qU1Q0

>>6
お前エントロピー言いたいだけだろw

17 安倍晋三 2025年11月10日 00:40 ID:JM7cMsyQ0

資本主義止めれば済む。
もうね、金を守るために面倒くさい事ばっか。世の中から金が無くなった方がみんな幸せに暮らせる。

18 名無しのプログラマー 2025年11月10日 00:41 ID:iiXdsXfw0

>>14
１６桁までいったら、もう自分の名前に英数字記号を１つだけいれたのになりそう

19 名無しのプログラマー 2025年11月10日 00:45 ID:lA6V7EFG0

アルファベットだけにしろと言っているのではないから勘違いすんなよ
「数字が1文字以上含まれている」という制約はクラッキングのためのヒントそのものだからやめろ
ちなみに何文字以上とかも議論がある
システム側で塩振ってブルートフォース拒否ればいいだけだろってね

20 名無しのプログラマー 2025年11月10日 00:50 ID:yUc.TZ7z0

ソースが会員限定なのでググって同等っぽいYahooの記事を読んだ。
１が与える印象と違って、普通に筋は通ってるな。要するに記号・数字を無理に入れようとしてかえってパターン化して強度が弱まってしまうことを懸念しているのであって、文字種別が増えることを否定するものではない。
よって俺は長さ、ランダム性、文字種別の多さを鼎立したストロングスタイルをこれまで通り貫くわ。

21 名無しのプログラマー 2025年11月10日 00:53 ID:213a4PJX0

認証アプリとか通知って海外とかでスマホ奪われたら終わりじゃん
まあサブ契約するかレンタルしていくのが確実か

22 【ニャ帝·ᴥ·】 2025年11月10日 00:55 ID:JZOnqA560

>>16
なぜ？
ていうかそもそも暗号学においてエントロピーって重要な概念でしょ

生体情報だって人間の記憶という上限に制約されずに、ハイエントロピーを実現する手段とも解釈できるよね
抽象化すれば「個人に紐付くハイエントロピーな何か」さえあれば最低限の認証は成立して、それは新たな認証機構を考える足掛かりにもなるよね
例えば衛星使った位置情報による認証とかも不可能ではないんじゃないの？

ニャ。

23 安倍晋三 2025年11月10日 00:56 ID:JM7cMsyQ0

インターネット時代には、共産主義的な共有意識の方がコスト下がるはず。P2Pとか、ファイル共有とか、現物でも家でも車でも、何でも共有にすりゃあいい。
どっちみち、所有コストはどんどん複雑化していって無限大に膨らんでく。手放すしか、コスト削減する方法は無い。所有する不自由と、何も持たない自由と逆転するはずだ。
エゴは馬鹿、おろか、恥ずかしいという価値観が浸透する。

24 名無しのプログラマー 2025年11月10日 01:02 ID:Z1yv4znv0

一方、低能日本企業はパスワードに大文字の使用を強制していた

25 名無しのプログラマー 2025年11月10日 01:13 ID:DVU0BNtx0

>>22
位置情報でいうとIPとか固定されたWi-Fi、Bluetooth機器情報とか参照して怪しいログイン試行を弾くシステムは既にGoogleその他が採用してるね
とはいえパスワード以外の要素を使った認証のいくつかはプライバシーに踏み込んでくるのがね
位置情報とか生体情報とかデバイスのフィンガープリントとかね
あと単純に紐付けがきつ過ぎると別の環境からの認証で不便を感じることも多いわ

26 名無しのプログラマー 2025年11月10日 01:56 ID:0trRdmtB0

いいかげん漢字を使えるようにしろ。絶対強いだろ

27 名無しのプログラマー 2025年11月10日 02:10 ID:lqLpGbLn0

>>26
漢字は理論上2バイト以上必要なんだが
1バイト目と2バイト目が一定の組合せになってることが保証されてるせいでアルファベット羅列より弱いおそれがあって誰も使ってないんだわ

28 名無しのプログラマー 2025年11月10日 03:06 ID:1ngCf1w10

>>8
それこそ名前とか予想しやすいパスワードになるしな
意味が無い

29 名無しのプログラマー 2025年11月10日 03:18 ID:KqSEmP5K0

登録式の顔認証で良いのでは？

30 名無しのプログラマー 2025年11月10日 07:01 ID:89nYRr.u0

>>29
生体認証はセンサーの問題がある。

個人スマホでの指紋認証とか、マイナンバーカードの顔認証のように、
常に同じセンサーで認証するのであれば成立するが、多種多様なカメラで撮影するとなると、
そのセンサーに対する正しさを保証できない。

31 名無しのプログラマー 2025年11月10日 07:06 ID:gMXIna7M0

バカ「大文字と記号も使わないとアカウント作れないようにしたろ！w」

32 名無しのプログラマー 2025年11月10日 07:37 ID:ogH2baET0

技術や機械の進歩によって意味がなくなったって話なんだから、昔は意味あったんだよバカにするなよ

33 名無しのプログラマー 2025年11月10日 07:48 ID:lsD4sZWX0

>>自分で覚えた人間はAmaz0nドットコムに入力して引っかかるが、
ブラウザは違うサイトに入力しない

ほんとそう、これはもっと広まった方がいい
ただ、Chrome、Safari、edgeと Firefoxくらいにしとけ

34 名無しのプログラマー 2025年11月10日 08:48 ID:tuw643O10

パスワードはともかく、時々IDやユーザネームまで記号混ぜろっていうサイト、〇意感じる

35 名無しのプログラマー 2025年11月10日 08:54 ID:x5rG.4Ek0

パスキーは共用PCや社用スマホでろくに使えない
パスキー普及させたかったから連携どうにかしろ

36 名無しのプログラマー 2025年11月10日 09:11 ID:e4hm8SC70

頻繁に使うところ以外は適当なパスワードにして毎回再設定する方がいい

37 名無しのプログラマー 2025年11月10日 09:19 ID:89nYRr.u0

>>36
再設定用のメールを実質的な二要素認証として使用する手法だね。

38 名無しのプログラマー 2025年11月10日 10:02 ID:1Y2cd5dg0

そこでトロンですよ

39 名無しのプログラマー 2025年11月10日 12:21 ID:Jg1ousdt0

パスワード複雑にします
定期的に更新させます
過去に使ったパスワードと類似してちゃダメです
もう管理は諦めて毎回パスワード再発行してる

40 名無しのプログラマー 2025年11月10日 12:43 ID:Uu1dXlLb0

パスワードの複雑さなんてあまり意味がないから
IDとパスワードの組み合わせなら
規定回数の失敗でアカウントロックされるブルートフォース対策で良いと思うけどね
IDとパスワードの漏洩対策には、多要素認証だね

41 名無しのプログラマー 2025年11月10日 12:51 ID:X8rrT.RD0

>>14
覚えてるとフィッシングに引っかかるからね
無意味な文字列にしてパスワードマネージャーに覚えさせるのが一番安全

42 名無しのプログラマー 2025年11月10日 14:28 ID:cWyJRID80

漢字使わせろよ
そのほうがセキュリティ高いだろ

43 名無しのプログラマー 2025年11月10日 15:01 ID:zkE.pLVK0

頑なに漢字を使わせないのはなぜなのか、全く理解できん。

44 名無しのプログラマー 2025年11月10日 15:24 ID:TxaOLdB70

二重認証と生体とPINでいいだろ

45 名無しのプログラマー 2025年11月10日 15:30 ID:inkpz5c50

日本で運営しているサイトのみ、ひらがなとカタカナ、漢字を使える様にしろ

46 名無しのプログラマー 2025年11月10日 19:50 ID:ECdDO8sV0

それで、「パスキー」ってなぁ、一体全体ナニモノなんだい（すっとぼけｗ）

47 名無しのプログラマー 2025年11月10日 22:17 ID:c3dWhJnf0

MFA必須だし、数回間違えたらロックするのも必要
記号なんて入力ミスし易いものは要らんねん

48 名無しのプログラマー 2025年11月10日 23:53 ID:H1muHlTh0

８桁とか１２桁で指定してくるサイト違法にしろよ
16桁で考えたパスが使えないの不便すぎるねん

49 名無しのプログラマー 2025年11月11日 13:22 ID:jyTt3beq0

ハードウェアの個体識別番号を第一認証にすることは出来ないのか?

コメントする

コメントフォーム

名前

コメント

評価する

リセット

リセット

顔

星

情報を記憶

オススメ記事一覧

人気記事ランキング

オススメ記事一覧

「ニュース」カテゴリの最新記事

コメント

コメントする