共通テスト・情報関係基礎の問題に誤解を招く表現 セキュリティ専門家が指摘「(1)英字・数字・記号を混ぜるは意味が無い」「(3)初期パスワードは最初から強度が高く安全な場合が多い」

情報関係基礎、①が想定正解だとすればクレームが入りそう。パスワードは全数探索を難しくすればいいので、英字・数字・記号を混ぜなくても、ほんの少し長くすれば問題ない: (26+26+10+10)**8 < (26+26)**9 pic.twitter.com/Kbe9VEJcxT

— Haruhiko Okumura (@h_okumura) January 14, 2024

ちなみに（本当はまずいのだが）一番クラックされにくいのは初期パスワード（複雑）のままだという話を聞いたことがある。自分で変更させると非常に安易なパスワードにする人が必ずいて、すぐ破られる

— Haruhiko Okumura (@h_okumura) January 14, 2024

関わった試験委員は全員クビ https://t.co/kkuygOKFPA

— Hiromitsu Takagi (@HiromitsuTakagi) January 15, 2024

パスワード解析と認証情報の漏洩の専門家の立場からすると3が一番破りにくい。2は一番ダメで、1は2と同じケースが多いため1は良くない。
正解は
4. 使わずに公開鍵認証を使った方法を使うよう https://t.co/VNYTtETQz3

— lumin (@lumin) January 15, 2024

この英数記号パスワード信仰、意味ないって言われてから何年経っても一向に浸透しないなってイライラしてたんだけど、なるほどそもそも公式が全然アップデートされてないんだな。
作問した奴全員船降りろ。 https://t.co/jFtCebc1NW

— わらびもち (@warabi_mochin) January 15, 2024

誰も NIST 800-63B の話をしていないのでぶら下げておく。https://t.co/KKPr1tyToj
「Verifierは他の構成ルール(例えば，異なる文字種の組み合わせ)を記憶シークレットに課すべきではない(SHOULD NOT)」

厚労省や NISC を根拠に文字種混在すべきというコメントが散見されるがそれは周回遅れの指摘。

— debiru / くぁーる (@debiru_R) January 15, 2024

0も、「考察プロセス」についてだけ記載してあり、「考えた後、その結果を共有したかどうか」については触れていませんね。話し合っているのが「複雑性の情景」だけの可能性も否定できません。

— 中世笛士安全系 (@FlyingPiper) January 15, 2024

設問が「以下のうち、最も適当なもの」なので消去法で①が正解でいいんじゃ

n文字以上って選択肢はないです
なんならパスワードじゃなくパスキーとかのほうが好ましいとかなんとでも言えちゃいますよ

— かりー (@karirin_07) January 15, 2024

このスレのように様々な知見が集積されると期待すると０が正解。

— えぇとこ大阪＠素人目線 (@Etoko_Osaka) January 15, 2024

１と２が同じ場合もありますよね

— おの太👾 (@ONOTA) January 15, 2024

これの最高に良くない点は
入試の正解なので全国の情報科教員はこれが正しいと教えないといけない
カラスが黒くても正解が白なら白と教えないと生徒が入試で落ちる https://t.co/zV3beV6tnS

— keitti73 (@keitti73) January 15, 2024

ほんとこれなんよ。記号を入れろとか言うのに、パスワードは8文字以下にしろという地方銀行とかね… タップ数が同じなら長くする方がエントロピー高いんよね https://t.co/5vkjmJ79jR

— 槌本🌸裕二 (@tsuchim) January 15, 2024