パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗」記事へのコメント

  • つまるところ、パスワードの禁則が
    * xx文字以下はNG
    * 強度チェッカーでNG
    * 辞書マッチでNG
        + 一般辞書単語
        + よくあるパスワード例 (new)
    ってことだよね?

    なので、そこまで目新しいとも思わないけど...
    # クラック向けパスワード辞書とかあるし、それでのチェックしてる運用自体はなくはないと思う。

    まあ、大手がやるという意味では新しいかな?
    Twitterが、弱いパスワード弾く運用やってるらしいとは聞くけど...

    --
    M-FalconSky (暑いか寒い)
    • by segawa-akira (7153) on 2016年05月29日 13時35分 (#3020554)
      このまま規則がどんどん厳しくなって、辞書にない文字列で100文字以上とか、それをログインする毎に更新とか、3回入力ミスするとアカウント抹消とか、もう実用できないレベルになっちゃうんじゃないのかな。 #その前に、頭のいい人が別の方法を考えるんだろうけどね
      親コメント
      • by Anonymous Coward on 2016年05月29日 14時54分 (#3020593)

        マイクロソフトはそこまでバカじゃない。
        マイクロソフトのパスワードに関するガイダンス [microsoft.com]
        ぜひ全文読んでもらいたいがとりあえず見出しだけ抜き出すと

        1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)
        2. 文字の組み合わせ (複雑さ) に関する要件を廃止する
        3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする

        で、この後に初めて

        4. わかりやすい一般的なパスワード使うことを禁止する

        と出てくる。さらに続き:

        5. 業務アカウントのパスワードを社外他のアカウントに使いまわさないようユーザーを教育する
        6. 多要素認証を必ず利用するようにする
        7. リスクベース多要素認証の方法を検討する

        親コメント
        • > 3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする
          がいいなぁ。
          なにがいいって、Microsoftぐらいの規模の所が明言してくれたことがね。

          > 1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)
          最近は試していないけど、outlook.comって最大16文字なんだよね。
          もう少し増やしてほしい。
          --
          # yes, fly. no, fry.
          親コメント

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...