【IT】「パスワードは定期的に変更してはいけない」 米政府©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ> 米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。 銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php 実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。 なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。 「パスフレーズ」の普及を ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。 どこかの1文字だけを順番に変えていくなどのパターンになりやすい。 【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音 http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php 仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。 【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php 定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。 フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。 NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。 (全文) http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php 不審なアクセスがありました。みたいな時だけ変える それ以外に変える理由ないよな(´・ω・`) 黒より黒く、闇より暗き漆黒に わが真紅の混交こんこうに望み給たもうもう 覚醒の時来たれリ、無謬むびゅうの境界に堕ちし理ことわり むぎょうの歪みと成りて現出せよ! 踊れ、踊れ、踊れ、 ー我が力の奔流に望むは崩壊なり。 ーー並ぶ者なき崩壊なり。 万象等しく灰燼に帰し、深淵より来たれ! これが人類最大の威力の攻撃手段!!これこそが!究極の攻撃魔法 エクスプロォォージョンッ!! 一番確実なのは、2段階認証で携帯に送られてくる一時パスワードじゃね アメリカはパスワードを管理する側だしな、変えられたら管理が不便になるから当然の事だな >>3 俺は、仮のパスワードにいったん変更して、翌日元に戻す。 当日だとエラーになるので翌日 ゆうて いみや おうきむ こうほ りいゆ うじとり やまあ きらぺ ぺぺぺぺ ぺぺぺ ぺぺぺ ぺぺぺぺ ぺぺぺ ぺぺぺ ぺぺぺぺ ぺぺ パスワードに単漢字もいれられるようにすればいいのに。 英数記号だけだからかんたんに解読されんだよ >>21 ふざけやがって! 瀬戸内寂聴の画像じゃねえか! パスワードの強度って判定するサイトで全然違うよな(´・ω・`) 何を信用したらいいのか >>192 NSAがせっかく集めたのに変えられてたら困r 「お前らに頻繁に変えられちゃ困るんだよ! こっちが! 仕事増やすな!」…だなw こんなの実際にユーザー目線で考えれば3時間でわかるw うちの会社もつい数か月前、英数字記号交じりで12桁のパスワードにしろ使いまわしは許さん 一か月ごとに変更だと基地がいな通知があったけど ほんの数か月で「変更は3か月ごとでいいよ」ってなったわw 専門家というのがいかに頭が悪いかってことだw フレーズにしても適当なエロを打てば解読できるだろ? 会社だとパスワード変更した日付を入れてるだけ secrete0523! とか だって面倒くさいんだもの >>189 60文字なんてあっという間だで おらは今付き合ってる恋人とセフレの名前と誕生日をパスワードにしてる 定期的に入れ替わるからパスワードも変わるし誕生日も忘れないから一石二鳥 年一回以上変えることを要求されると確実に機械的に変えるようになるからなw 会社のパスワードも下一桁の数字足してるだけだわw >>62 俺が使っている職場やサイトは過去に使用したことのあるパスワードは使えない。 アメリカだったら、 May the force be with you. 日本だったら、 キリコの飲むウドのコーヒーは苦い。 とか入力したらかなりの奴にアクセスできそうだ。 64t,hi9uppeogiskfh4e8t8eterhtg776578oi7070098r67564egfhsotguepp,p,ooi 過去に情報流出をやった会社 2か月ごとにパスワード変更 英大文字、英小文字、数字全てを含んだ8文字以上 過去3回まで使ったものは使用不可 ただしwindowsのログイン失敗は何度でもOK そりゃお漏らしするわ ある判定サイトだと、"abcde0"というパスワードの方が"abcde0000"より強いって出る 理由は連続した文字列があるから おかしくね(´・ω・`)? >>200 忘れないパスワードの生成方法としては古典的なよく知られている方法だよ 人は記憶型と思考型に大別できる サイト製作者にアイデアを1つ進ぜよう 日本のサイトなら漢字のパスワードも可能にするだけで安全性が高まる 一番古いniftyのパスワード 登録して以来変えてない >>219 > ただしwindowsのログイン失敗は何度でもOK だってサポート面倒臭いじゃん 安全性を高めようと本気で考えたら多要素認証とワンタイムパスワード。 パスワード生成用のトークンでも配るしかないと思う。 変更しろのメッセージ出るたびに、また今度にするを選んでるわ 「ふいんき」みたいに長年間違えて覚えていたこと ↑ これがいいらしい ユニークだし じゅげむ じゅげむ ごこうのすりきれ かいじゃりすいぎょの すいぎょうまつ うんらいまつ ふうらいまつ くうねるところにすむところ やぶらこうじのやぶこうじ ぱいぽ ぱいぽ ぱいぽのしゅーりんがん しゅーりんがんのぐーりんだい ぐーりんだいのぽんぽこぴーの ぽんぽこなーの ちょうきゅうめいのちょうすけ 全く意味を持たない文字数時記号の羅列にしろ、使いまわすな、長くしろ、今でも破るソフトがあるんだぞ? とかよく聞くけど面倒だからな。 もうOSの機能として、右クリックで暗号化みたいなのを搭載したらいいんじゃないの? ワイもパスワードの管理にはほとほと困り果ててるわ パスフレーズちうのは良いかもしれんな つーかパスより指紋とかの生体認証普及させればいいのに 指紋要求されればハッキングやのっとりも圧倒的に減るだろ >>233 昔のアプリケーションはバイナリエディタで開いたら そのままパスワードが読めたりしたね(´・ω・`) 漢字と平仮名とカタカナ組み合わせて使えば済む問題だろ アルファベットと数字なんて組み合わせが少なすぎる 馬鹿なのか? 黄昏よりも暗き存在、血の流れよりも赤き存在 時間の流れに埋もれし偉大なる汝の名において、 我ここに闇に誓わん、我らが前に立ち塞がりし 全ての愚かなるものに、我と汝が力もて、等しく滅びを与えんことを 変更したことないし破られたこともないわ まぁ1234とかには絶対しないけど パスフレーズって何?馬鹿みたいな質問ですまねえマジで知らないんだ wai ha oosakajin ga kiraiya nanise chosenjin no chiga majitteru sakainina これくらいなら破られないだろう 誕生日が2017/5/23 だったら ye17mo5da23 みたいにしてる PCから入力するなら長くてもいいんだが、スマホから入力することも考えるとあまり長くしたくないんだよなあ >>248 短いワード(単語)では無く、長い文章にしましょうということかと FC2クソウゼェんだよな 意地でも変更してやらねぇわ パスワードとかどうでも良いから、もう何かあったら 携帯に認証コードが届くようにして二段階にすりゃ良いじゃん。 >>243 日本語って規格が何種類もあってな。 画面上ではおなじ「あ」でも違う文字として解釈されちゃうことがあるんだよ。 だからパスワードには使えなかったのですよ。 今はほとんどutf8になったから、使えるようにしてもよさそうだけどね。 きょうもみるみるエロ画像。探して保存して2ちゃんみる。 こんなおいらも今年で50。好きなタイプは巨乳です。 というように設定しましょう。 “If you can meet with triumph and disaster And treat those two imposters just the same”(´・ω・`) 日本語可能にしろよ アルファベット、数字のような記号じゃなくて、漢字、送り仮名、カタカナまでしようしたらかなり解読されにくいだろ 例えば あるがまぁまぁの心で生きぃられぬ弱さを誰かのせいにしてすごぉしてるぅ とか >>1 フレーズにしたら、 大半が百人一首や平家物語の冒頭になりそう。 で、組合員のパスフレーズは 日本国憲法前文とか憲法九条だね。 「この画像のうちガソリンスタンドが写っているものを全てチェックして下さい」 みたいな認証がむちゃくちゃ不便を強いられている感が半端ない。 利便性のためにいかに面倒くさくするかという矛盾 余計なお世話じゃね、変更されると煩わしいの? そんなことより生挿し禁止を勧めてやれよ 長い意味のあるフレーズのほうが簡単に解読できるから便利なんだろ パスの強度以前にNTTとかプロバイダの方で抜かれてんのに ユーザーの責任みたいにパス変更しろと言ってくるんだよな >>79 お前らはその単語使うからすぐボロが出るな 分からない人は、 ぱよぱよちーん事件で検索 情弱大勝利 パスワードを変更してくださいと言われても何アホなこと言ってるんだと余裕でスルー ロシアン・ティーを一杯。ジャムではなくママレードでもなく蜂蜜で 社内のセキュリティ講習でセキュリティ専門家に習ったわ、コレ。 にもかかわらず、うちの社内の認証システムは定期的にパスワード変更を要求してくるという。 頻繁に変更しないと突破されるなんてのは 何度も試されてるけど放置しているというだけだろう この場合の脆弱性は明らかに運営の方にある これっていい加減にパスワード作り直すから、作りなおさないほうがましだって話でしょ パスワードが漏れることだってあるから定期的な変更はやるべきだよ パスワードはツールで作成するべき keepass2ならパスワードの管理も作成も出来る 所有しているPC以外から利用した場合は即座にパスワードを変えるべき 例えばネカフェからだってパスワードが漏れる可能性だってあるし 誰かが後ろからパスワード入力を監視してたりカメラで録画してるかもしれないからね ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる