【IT】「パスワードは定期的に変更してはいけない」 米政府©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
(全文)
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php >>118
ほんとだよ・・・マジで
IDも4通りパスはもっと
ぐらいあって
社員番号すらもなんか2つぐらいあるようち。
死んどけって思った。 >>3
うちは前回のパスワードの再利用不可だけどその前のはOKだから、変更時期が来るたびにaaaa→bbbb→cccc→aaaaみたいな感じにリセットしてるわ 「桑田は?」
↓
「バッティングもいい」
こういうやつか? >>122
おお、漢字使えれば欧米人に破られることはなくなりそうだな。
・・・・・無理なのか? よく考えたらパソコン通信の頃から
パスワード変えてないな20年以上w 今はできないが、昔はたとえば6文字なら 111111 999999 とかを使っていた
これなら早く打てる。あと怪しいサイトは家のパソコンじゃなく職場のでみる。
医療機関だが我ながら適当です 普通は パスならせいぜい2種類
IDなんて1種類 でやれる。 >>78
案外正解なのがパスワードマネジャーを使うこと
スマホはkeepass使って時々PCと同期している パスワードジェネレータで生成してtapformsで管理して都度コピペしてるわ パス変更するには誕生日入れろだの登録メアドからしか受け付けないとか
そんなもん適当だし捨てアドでとっくに終了してるw >>103
それ使っても、他人が他のソフトをインストールしたら簡単にバレるよ >>119
楽天銀行で振り込み
宝くじ、公共ギャンブル、音楽DL他にも使えて便利
登録とメール攻勢がクソ面倒だけどな webサイトは毎回適当に設定して再発行するのが楽な気がしてる
要求が複雑になりすぎてどこに何設定したか覚えらんない NSAその他機関「俺らが覗けなくなるだろ!」
こうですか分かりません 無駄過ぎるからな
既にハッキングされてるならわかるけどさ
違うだろ >>117
むか〜し、パス入力を見られて被害出て、その対応の名残だな
ATMで番号バラバラの10キーになるのも、指紋でパス破られたりした名残だしな
不正する奴のお陰でどんどん不便になる
・を無くすのは簡単だけど、どこで誰がお前の画面を見ているか解らない
今もあるかもなぁ、そんなに難しい技術じゃないし キーボードぱちゃぱちゃ打って、一分の小文字を大文字に変更して、数値が足されてなければ適当に挿入すればいい。 静脈パターンや虹彩認証とパスフレーズを紐付けて
ピッとやってパッと入力できたら良いなぁ 前から定期的な変更はどうかと思ってたよ
やりすぎだと moukoinanntesinainanteiwanaumaiyozettai 定期的にパスワード変更を強要するサイトが面倒くさい
パスワードを変更しないとログインすらできないクソ仕様だし
こっちは英数字ランダムで20文字使ったものにしてるのに余計なお世話だ googleで検索するとHPのディレクトリが丸見えでたまにpass.txtとかいうのが置いてあるから困ったもんだ 俺は絶対にバレたら困るサイト、信頼できるサイト、まあまあ信頼できるサイト、よくわからないサイトでパスワード変えてるわ。
ベースのパスは同じで4種で上位に行くほど記号や大文字組み合わせて覚えやすくしてる パスワードを変えるともう二度とそのサービスにアクセスできなくなる可能性があるからな。乗っ取られるよりも怖いって。 パスワードとか、大半の人はブラウザ側が保存していて
ボタン一つで自動的にパスワードをかき込む事が出来るだろう。
自分で覚えてる人は少ないだろう。
会社の不特定多数で共有するPCからなら仕方ないけど 組み合わせて20文字ぐらいにするしかないわな
自分でもよく覚えてると思うわ パスワードマネージャーのパスワードを忘れたらもうね… ずっと前にこの考え方を知ってからはインターネットバンキングの暗証番号は1回も変えてないよ。
その代わり英数記号で16桁もあるけどw >>1
バカサイトのpass要求
1.定期的に変えろと言うので忘れてしまったり古いのを入れてロックされたり
2.必ず8桁と決められている(普段使い慣れてるのが7や9だと受け付けないので忘れる)
3.大文字小文字を同一視(Aとaを別と認識するだけで天文学的な種類に出来るのに)
4.変更後に元のpassに戻せない(過去に使われたものはダメ)
5.キーボードにある全ての文字を認めない(#とか%とか) Webサービスは全部Google IDでログインできるようにすれば良くね?
最近はメールアドレスをIDにするサービスが多いから、パスワードを使い回すと
芋づるで抜かれそうで怖い。 >>155
日本なら短歌2つ並べたら、と思ったが若干足りないな 「わたしパ〜スワ〜ド〜マネ〜ジャ〜 ♪」が
「わたしパスフレ〜ズ〜マネ〜ジャ〜 ♪」になるのか >>154
そんな長くても、ほとんどのシステムは無視してるだけだろ supercalifragilisticexpialidocious✕2
が蔓延する予感 >>153
moukoinanntesinainanteiwanaiyozettai、パスワードが間違っています。あれ?
もう恋なんてしないなんて岩魚美味いよ絶対だった、あそうだ岩魚だった >>163
ブラウザに脆弱性が発見されてそこから漏れたら怖いから一度も覚えさせてない。 パスフレーズ?
じゅもんが ちがいます
って出るのかw >>99
そうそう一度退会して後日新規で登録しようとしたら
既に登録されているカード番号って言われて登録できなかったわ
速攻でそのカード凍結したよ >>160
それな
パスワード忘れる
↓
パスワード再設定
↓
秘密の質問を答えてください
↓
あれ?なんだっけってなる
1番困るのは何を秘密の質問に設定したのか選んでくれってサイトだな
答えは多分覚えてるけど、何を質問にしたのか思い出せない 不審なアクセスがありました。みたいな時だけ変える
それ以外に変える理由ないよな(´・ω・`) 黒より黒く、闇より暗き漆黒に
わが真紅の混交こんこうに望み給たもうもう
覚醒の時来たれリ、無謬むびゅうの境界に堕ちし理ことわり
むぎょうの歪みと成りて現出せよ!
踊れ、踊れ、踊れ、
ー我が力の奔流に望むは崩壊なり。
ーー並ぶ者なき崩壊なり。
万象等しく灰燼に帰し、深淵より来たれ!
これが人類最大の威力の攻撃手段!!これこそが!究極の攻撃魔法
エクスプロォォージョンッ!! 一番確実なのは、2段階認証で携帯に送られてくる一時パスワードじゃね アメリカはパスワードを管理する側だしな、変えられたら管理が不便になるから当然の事だな >>3
俺は、仮のパスワードにいったん変更して、翌日元に戻す。
当日だとエラーになるので翌日 ゆうて いみや おうきむ
こうほ りいゆ うじとり
やまあ きらぺ ぺぺぺぺ
ぺぺぺ ぺぺぺ ぺぺぺぺ
ぺぺぺ ぺぺぺ ぺぺぺぺ ぺぺ パスワードに単漢字もいれられるようにすればいいのに。
英数記号だけだからかんたんに解読されんだよ >>21
ふざけやがって!
瀬戸内寂聴の画像じゃねえか! パスワードの強度って判定するサイトで全然違うよな(´・ω・`)
何を信用したらいいのか >>192
NSAがせっかく集めたのに変えられてたら困r 「お前らに頻繁に変えられちゃ困るんだよ! こっちが! 仕事増やすな!」…だなw こんなの実際にユーザー目線で考えれば3時間でわかるw
うちの会社もつい数か月前、英数字記号交じりで12桁のパスワードにしろ使いまわしは許さん
一か月ごとに変更だと基地がいな通知があったけど
ほんの数か月で「変更は3か月ごとでいいよ」ってなったわw
専門家というのがいかに頭が悪いかってことだw フレーズにしても適当なエロを打てば解読できるだろ? 会社だとパスワード変更した日付を入れてるだけ
secrete0523!
とか
だって面倒くさいんだもの >>189
60文字なんてあっという間だで
おらは今付き合ってる恋人とセフレの名前と誕生日をパスワードにしてる
定期的に入れ替わるからパスワードも変わるし誕生日も忘れないから一石二鳥 年一回以上変えることを要求されると確実に機械的に変えるようになるからなw
会社のパスワードも下一桁の数字足してるだけだわw >>62
俺が使っている職場やサイトは過去に使用したことのあるパスワードは使えない。 アメリカだったら、 May the force be with you.
日本だったら、 キリコの飲むウドのコーヒーは苦い。
とか入力したらかなりの奴にアクセスできそうだ。 64t,hi9uppeogiskfh4e8t8eterhtg776578oi7070098r67564egfhsotguepp,p,ooi 過去に情報流出をやった会社
2か月ごとにパスワード変更
英大文字、英小文字、数字全てを含んだ8文字以上
過去3回まで使ったものは使用不可
ただしwindowsのログイン失敗は何度でもOK
そりゃお漏らしするわ ある判定サイトだと、"abcde0"というパスワードの方が"abcde0000"より強いって出る
理由は連続した文字列があるから
おかしくね(´・ω・`)? >>200
忘れないパスワードの生成方法としては古典的なよく知られている方法だよ 人は記憶型と思考型に大別できる
サイト製作者にアイデアを1つ進ぜよう
日本のサイトなら漢字のパスワードも可能にするだけで安全性が高まる ■ このスレッドは過去ログ倉庫に格納されています
