アカウント名:
パスワード:
つまるところ、パスワードの禁則が* xx文字以下はNG* 強度チェッカーでNG* 辞書マッチでNG + 一般辞書単語 + よくあるパスワード例 (new)ってことだよね?
なので、そこまで目新しいとも思わないけど...# クラック向けパスワード辞書とかあるし、それでのチェックしてる運用自体はなくはないと思う。
まあ、大手がやるという意味では新しいかな?Twitterが、弱いパスワード弾く運用やってるらしいとは聞くけど...
マイクロソフトはそこまでバカじゃない。マイクロソフトのパスワードに関するガイダンス [microsoft.com]ぜひ全文読んでもらいたいがとりあえず見出しだけ抜き出すと
1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)2. 文字の組み合わせ (複雑さ) に関する要件を廃止する3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする
で、この後に初めて
4. わかりやすい一般的なパスワード使うことを禁止する
と出てくる。さらに続き:
5. 業務アカウントのパスワードを社外他のアカウントに使いまわさないようユーザーを教育する6. 多要素認証を必ず利用するようにする7. リスクベース多要素認証の方法を検討する
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
運用によるけど (スコア:1)
つまるところ、パスワードの禁則が
* xx文字以下はNG
* 強度チェッカーでNG
* 辞書マッチでNG
+ 一般辞書単語
+ よくあるパスワード例 (new)
ってことだよね?
なので、そこまで目新しいとも思わないけど...
# クラック向けパスワード辞書とかあるし、それでのチェックしてる運用自体はなくはないと思う。
まあ、大手がやるという意味では新しいかな?
Twitterが、弱いパスワード弾く運用やってるらしいとは聞くけど...
M-FalconSky (暑いか寒い)
Re: (スコア:1)
Re:運用によるけど (スコア:3, 参考になる)
マイクロソフトはそこまでバカじゃない。
マイクロソフトのパスワードに関するガイダンス [microsoft.com]
ぜひ全文読んでもらいたいがとりあえず見出しだけ抜き出すと
で、この後に初めて
と出てくる。さらに続き:
Re:運用によるけど (スコア:1)
がいいなぁ。
なにがいいって、Microsoftぐらいの規模の所が明言してくれたことがね。
> 1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)
最近は試していないけど、outlook.comって最大16文字なんだよね。
もう少し増やしてほしい。
# yes, fly. no, fry.