99％が信じてる大間違い！パスワードの新常識とは？

とても勉強になりました。長いパスワードは覚えられないので、管理ソフトを使うしかないと思ってます。

組織内のシステムでは、今でも定期的なパスワード変更が推奨されるところが多いでしょう。
これは現在の常識を知らないからではなく、内部不正の抑止が目的なのでしょうね。

長かっかりいろんな種類の文字(一部では記号も必須)からめたパスワード…覚えるのが大変ですもんね。

漏洩も怖いですが、アクセスできなくなることも怖いです。

クレカ系ではパスワードを半年以上変更しないと毎回変更依頼が表示されていますが、変更は2年に1回ほどです。
パスワード定期更新は随分前からやめました。パスワードは12桁以上で、ランダムな文字列を設定してます。また、OSのパスワードマネージャーやパスキーを使うようになって便利になりました。パスワードを覚える必要が無くなり、管理が楽になりました。

ちなみに国民向けの総務省サイトは
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/

まぁそもそもシステム側ではパスワードをパスワードそのまま保存してることなんてなくハッシュ値保存なんで、流出してもブルートフォースアタックするしかないんですけどね。
(フィッシング等パスワードそのものが流出する状況では、いくらパスワードを長くしても何の意味もありません)

それなら、ブルートフォースアタックそのものが大変になるようにすれば良いわけですんで、最近はハッシュ値をそのまま保存することもしてません。
ソルト、ペッパー、ストレッチングといった手法で、同じパスワードを使っていてもハッシュ値が変わり、また短いパスワードでも長いパスワードと同様の強度を持たせることが可能です。
https://tech.nri-net.com/entry/hashing_password

そういう前提知識を伝えないのは不親切ですね。

銀行サイトで定期変更を求めるのは、4桁のまま桁数を増やせないまま来ている銀行システム側の言い訳の為。
万一 第三者に引き出された場合に「長期間パスワードを変更してないから」という理由を持ち出してくる。
さらに、個人口座が被害を受けても、
銀行は被害を受けたが、個人口座は被害届を出せない、という法的建付になっている。銀行は補償しないし、警察への被害届も出さず、何もなかった事にする。
貸金庫事件の様な感じ、「本当に入ってたのですか？お客様の勘違いでは！」

パスワードについては、もっと良い動画が有る。
「スパイチャンネル #634」
桁数を増やす事がいかに重要か！

未だに定期変更を強要するサイトがありますね・・・

1%だけが知っている「常識」😄

たまにコピペが出来ず、必ず手入力しないといけないようになってるサイトがあります。
　あれだと50ケタとか設定してたら地獄みます😂

要するに文字数が多くて、数字・大文字・小文字・記号を使って、日本語（ローマ字）を入れたパスワードが良いってことですね。

私は昔からパスワードの定期的変更は脆弱性を高めると思ってました
定期的変更と、パスワードの長文、数字、記号混じり、ランダム化を合わせることで、利用者は記憶出来なくなるので、メモるか特定の規則を設けて覚えるしか手段がなくなります
前者ならメモの漏洩リスク、後者なら特定の規則が推測しやすくなるので突破しやすくなる
迷惑な話です

ほんとやめてほしい。
90日サイクルで更新を強制するシステム
しかも八世代前までのはダメとかクルってる。

>> nak-tek さん

これ、同じグループ内でも対応が違う場合があったりします。
SBI 証券は（パスワードポリシーの変更によるものを除き）定期的なパスワードの変更は非推奨のスタンスなのですが、同じ SBI グループでも住信 SBI ネット銀行は現在でも定期的に各種パスワード・暗証番号を変更する様に案内して来ます。（強制では無い）

>> ( ˘･з･)チェッ@君の💜にRev.🎵 さん

これ、PC のサイトやサービスではあまり無いのですが、スマホでは遭遇する事が多いです。
今使っているパスワードマネージャーではキーボードから ID やパスワードを一発で入力する機能が有るのですが、Android 版の Chrome ではサイトにも依りますが上手く入力出来ない場合が有り、その場合はコピペに頼る事になるのですが、サイトに依っては ID とパスワードの入力受付が別々のページになっていて、しかもブラウザからフォーカスが外れるとパスワードの入力画面から ID の入力画面に戻されてやり直しになったりして、その場合はどちらかは手入力する必要が出てくるという七面倒な仕様の所も有ります。