【IT】「パスワードは定期的に変更してはいけない」米政府©2ch.net

2017/05/23(火) 22:14:28.99

＜アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ＞

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所（NIST）が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。

銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

【参考記事】パスワード不要の世界は、もう実現されている？！
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php

実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。

なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。

どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php

定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。

フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。

（全文）
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php

**名無しさん＠１周年** · 2017/05/23(火) 23:36:28.38

誕生日に西暦足して月足して毎月変えてるから大丈夫

**名無しさん＠１周年** · 2017/05/23(火) 23:36:41.75

>>2
俺もDMMアカウント持ってるけど、クレカなんて登録するわけないよ
個人情報も一切登録してない
使うときはコンビニでポイント買ってきてその都度入れてるわ
アダルトサイトでよくクレカや個人情報を載せれるな。

**名無しさん＠１周年** · 2017/05/23(火) 23:37:11.22

ＰＣのは高校の時の生徒番号にちょっと足したのにしてるわ。
フレーズだと小説とか歌詞使う人多くなりそうな気がする。

**名無しさん＠１周年** · 2017/05/23(火) 23:37:49.35

Outlookのメール、他のユーザーが使っているとかでロックされた
パスが合っているとかそういう問題じゃない
パスが合っていてもロック解けない
hotmail時代からの登録情報で、国籍南極とかなっているし、
本人でさえロックが解けない→捨てざるを得なかった
こういうの、行きすぎも問題だと思うんだけれど

**名無しさん＠１周年** · 2017/05/23(火) 23:37:57.54

パスワードに2バイト文字使えるようにしろ

**名無しさん＠１周年** · 2017/05/23(火) 23:38:20.96

anatano ochinpo totemohoshiino
hayakucyodai mougamandekinai moumatenaino
64文字なんてムリ

**名無しさん＠１周年** · 2017/05/23(火) 23:38:23.39

>>168
一番信用できない会社のIDって

アホか？

**名無しさん＠１周年** · 2017/05/23(火) 23:39:30.70

パスワードは盗まれるより忘れる危険性の方が高いと思う

**名無しさん＠１周年** · 2017/05/23(火) 23:39:30.92

hirakegoma+生年月日で数年使ってたが
案外大丈夫だったｗｗ
今はキーボードの上にボールを落として
押された文字がパスワードｗｗ

**名無しさん＠１周年** · 2017/05/23(火) 23:40:18.72

ユーザーに自分で決めさせるのが間違ってるんだよ。
変更周期が来たら、ランダムな１０ケタぐらいのパスワードをシステムが提示して、
その場で１００回ぐらい入力練習させるようにすればいい。
アホでも１００回入力したら覚えるよ。

あと、パスワードを忘れたり入力ミスったり紙に書いたヤツは１発でクビにする制度にするとか。

**名無しさん＠１周年** · 2017/05/23(火) 23:40:21.39

会社で普段使うパスワードが5つもある
うち2つは有効期限6カ月

**名無しさん＠１周年** · 2017/05/23(火) 23:40:36.52

>>253
さらに面倒になるんだ(T_T)

**名無しさん＠１周年** · 2017/05/23(火) 23:40:40.12

>>350
それじゃ短い、1919も足して堅牢制を高めるべき

**名無しさん＠１周年** · 2017/05/23(火) 23:41:30.72

とにかく、便利さとセキュリティーは反比例なんだから、
とてつもなくセキュアーにしようと思ったらとてつもなく不便にしないといけない。
便利さは敵だ！！

**名無しさん＠１周年** · 2017/05/23(火) 23:41:47.43

>>358
WEBならっ記録が残ってるから見られる。
クロームの設定で

**名無しさん＠１周年** · 2017/05/23(火) 23:42:08.41

>>362
むしろ文章の方が楽でしょ。

**名無しさん＠１周年** · 2017/05/23(火) 23:42:22.31

画像認証必須にすればいいと思う

**名無しさん＠１周年** · 2017/05/23(火) 23:42:29.80

>>309
いや、まずはカード会社の利用お知らせメールが着て「ファッ！！？」ってなって、
DMMにログインしようとしたがもちろん出来ず、慌てて電話したわｗ

その後見たらポイントで10,000×９・・・・・
なんとかってゲームのポイントだった

**名無しさん＠１周年** · 2017/05/23(火) 23:42:39.28

指紋なんかいくらでも盗めるしなあ

**名無しさん＠１周年** · 2017/05/23(火) 23:43:13.70

ゆうあいが進んでいるからな。

**名無しさん＠１周年** · 2017/05/23(火) 23:43:25.41

>>1
>どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

TT123456のT→U→Vへ順々に変えていくとかねw

**名無しさん＠１周年** · 2017/05/23(火) 23:43:41.91

フェイスブック覗かれた女優さんたちは名前プラス誕生日とかにしてたのかな。

**名無しさん＠１周年** · 2017/05/23(火) 23:43:57.72

覚えきれないのであらゆるＰＷを統一している。会社のが半年おきに更新で一文字だけ変えている。キーボードに付箋貼るよりマシだ。

**名無しさん＠１周年** · 2017/05/23(火) 23:44:18.57

>>21
懐かしすぎて涙でた　(´；ω；｀)

**名無しさん＠１周年** · 2017/05/23(火) 23:44:57.60

>>335
なんで
ona2145451919
じゃないのか・・・

**名無しさん＠１周年** · 2017/05/23(火) 23:45:05.42

64文字も作るのめんどくせーよ

**名無しさん＠１周年** · 2017/05/23(火) 23:45:33.29

ずっと昔にID Managerを導入して自動生成で済ましてるから
パスワード変更で悩んだことは一度もないな
使っているアプリケーションの中では最古参かもしれない

**名無しさん＠１周年** · 2017/05/23(火) 23:45:58.89

考え方の違い
「落としたとき、スられたときのために財布に大金入れるな」　なというのと同じ
落としてもいい、スられてもいい額しか入れてないからそうなる

**名無しさん＠１周年** · 2017/05/23(火) 23:46:02.25

>>19
でその紙をモニターに張ってるんだろ

**名無しさん＠１周年** · 2017/05/23(火) 23:46:27.17

紙に記録しても馬鹿には解読できないよ
ハッカーは俺の家に来ることはできない

**名無しさん＠１周年** · 2017/05/23(火) 23:46:31.24

>>110
kusoTyon shine wwww....的なやつ？

**名無しさん＠１周年** · 2017/05/23(火) 23:46:34.91

hotmailのパス、17年間変えてないけど、ハックされたことないよ。

**名無しさん＠１周年** · 2017/05/23(火) 23:47:17.44

ＮＳＡとかが困るからだろｗｗｗ

パスワード度々変更されたら大変だもんなｗｗｗ

**名無しさん＠１周年** · 2017/05/23(火) 23:47:59.12

「定期的に変えろ」は、あくまで発火されたあとに気づかないままのときの対策の話
毎日変えたら発火されないという話ではない

**名無しさん＠１周年** · 2017/05/23(火) 23:48:26.35

変更しなくても、もう、監視社会を解除ができないぜ。

ゆうあい（融合の読み間違いby鳩山）が進んでしまったからである

**名無しさん＠１周年** · 2017/05/23(火) 23:48:34.46

だが、生体情報をパスワードに仕えというような仕様をマイクロソフトが強制してきたら要注意

**名無しさん＠１周年** · 2017/05/23(火) 23:49:04.96

人によってバリエーションがないとパスワードの意味がないだろう
だからいろいろなパターンがあっていいんだよ

**名無しさん＠１周年** · 2017/05/23(火) 23:49:09.25

だよな！

**名無しさん＠１周年** · 2017/05/23(火) 23:49:22.54

アタックされたら一旦ロックして変更させればいいんじゃないですかねえ

**名無しさん＠１周年** · 2017/05/23(火) 23:49:42.22

俺のパスワード
37564

**名無しさん＠１周年** · 2017/05/23(火) 23:49:56.68

>>21
誰かこれの意味を教えてくれませんか？

**名無しさん＠１周年** · 2017/05/23(火) 23:50:00.20

>>127
そこで臭い認証です。
わりとまじで思ってます

**名無しさん＠１周年** · 2017/05/23(火) 23:50:11.31

だよね
監視社会にはパスワードなんて無効だわw

**名無しさん＠１周年** · 2017/05/23(火) 23:50:23.07

パスフレーズって、例えば
「うちの旦那は皮被り」とか
「ハゲは死んでも治らない」みたいな？

**名無しさん＠１周年** · 2017/05/23(火) 23:50:24.97

定期的にパスを変えろというシステムがある。
3か月毎ぐらいに変えろと。

2個パスワードを作っておき、それを3か月毎に交互にかえる
だって、あたらしいパスワードって、忘れるし。

**名無しさん＠１周年** · 2017/05/23(火) 23:50:28.73

いいかげん日本語オッケーにしろ

**名無しさん＠１周年** · 2017/05/23(火) 23:50:31.92

>>1
良いこと考えた！
おっぱい認証にしようぜ！

**名無しさん＠１周年** · 2017/05/23(火) 23:50:46.81

最も機密性の高い情報は、今でも紙とペン。
IT業界でも情報機関でも最先端研究機関でも。

**名無しさん＠１周年** · 2017/05/23(火) 23:50:47.47

最後の文字を大文字にするか小文字にするかで変更してたな
定期的な変更要求はあかんわな

**名無しさん＠１周年** · 2017/05/23(火) 23:50:48.85

うさんくさい
64文字なんてうってられっか

**名無しさん＠１周年** · 2017/05/23(火) 23:51:18.35

金融機関が割りとしつこいよね
そんな頻繁に変えたら管理しきれんわ

**名無しさん＠１周年** · 2017/05/23(火) 23:51:49.74

文明を盗むでイカン。

罠だと知っていながら自己責任でｗ

テラワロス

**名無しさん＠１周年** · 2017/05/23(火) 23:51:57.58

>>395
過去使ったパスワードは蹴られるシステムが多いよ

**名無しさん＠１周年** · 2017/05/23(火) 23:52:24.39

良いこと考えた！
おちんちん認証にしようぜ！

**小池吉男** · 2017/05/23(火) 23:52:42.66

めんどくさいし覚えられない。

**名無しさん＠１周年** · 2017/05/23(火) 23:53:12.66

>>2
無敵のやつ全部買っておいたぞ
感謝しろ

**名無しさん＠１周年** · 2017/05/23(火) 23:53:12.82

現状ランダムに生成した文字列だがそれが増えるだけだな

**名無しさん＠１周年** · 2017/05/23(火) 23:53:35.46

乱数で生成しても
けっこう覚えられるもんよ

**名無しさん＠１周年** · 2017/05/23(火) 23:53:38.45

「変えてくさい^^」と要求るだけなら、いつまでも無視してやるが、
強制リセットしょ～るんなら、逆にそのサービス本社にテロッたるY
min64字の台詞。johnさんには有効じゃろね。絶対メモ書き必須 ⇒ 別の脆弱性有るけど(｡･ω･｡)y━･~~

**名無しさん＠１周年** · 2017/05/23(火) 23:53:41.57

今一度パスワードとは何かを考えてみる
それじゃパスワードになってないじゃんｗ

**名無しさん＠１周年** · 2017/05/23(火) 23:53:48.96

銀行なんか数字４ケタだけどな

**名無しさん＠１周年** · 2017/05/23(火) 23:55:03.90

証券会社は数字だけの4桁のパスワードを15年間使い続けていても文句を一切言わないのが偉いわな

**名無しさん＠１周年** · 2017/05/23(火) 23:56:02.69

パスワードの文字は歌詞、数字はメロディーにして
歌として覚えているわ

**名無しさん＠１周年** · 2017/05/23(火) 23:56:10.93

英数字混合だの大文字入れろだの命令するなっつーの

**名無しさん＠１周年** · 2017/05/23(火) 23:56:40.18

nullpo

**名無しさん＠１周年** · 2017/05/23(火) 23:57:26.39

面倒だと思わずに覚えたいものを設定すればいい
元素周期表とか

**名無しさん＠１周年** · 2017/05/23(火) 23:57:37.55

どうでもいい口座だがこれのせいで変えちゃって忘れてしまって放置民

**名無しさん＠１周年** · 2017/05/23(火) 23:57:52.19

>>3
Xxxxxxx@0
Xxxxxxx@1
Xxxxxxx@2

**名無しさん＠１周年** · 2017/05/23(火) 23:57:59.24

19190721
45450721
081peropero

**名無しさん＠１周年** · 2017/05/23(火) 23:58:06.26

それお前(アメリカ)が都合悪いからだろ
なあCIA使って散々やってきたもんなあ

**名無しさん＠１周年** · 2017/05/23(火) 23:58:12.29

歌の歌詞をパスフレーズにしたら流出して
カスラックから請求がくるとこまで読めた。

**名無しさん＠１周年** · 2017/05/23(火) 23:58:59.20

>>1
15年くらい幾つか決めてるパスワードを変えてないけど
現状被害を被った事はないな・・・案外そういうもんなのかもな
わかり易い身辺（誕生日やら）から出るもんを使わないだけで十分なのかもな

**名無しさん＠１周年** · 2017/05/23(火) 23:59:56.49

パスワード登録もだんだん厳しくなってきてるよな
パスフレーズ「俺はモテモテやりまくり」
error「事実を登録しろハゲ」

**名無しさん＠１周年** · 2017/05/24(水) 00:00:14.98

フレーズにしたらしたで
皆オープンセサミにしちゃうのがメリケン

**名無しさん＠１周年** · 2017/05/24(水) 00:00:47.19

良いこと考えた！
オケツ認証にしようぜ！

**名無しさん＠１周年** · 2017/05/24(水) 00:00:52.01

はぁ？

**名無しさん＠１周年** · 2017/05/24(水) 00:00:54.85

>>424
それ、本来なら中東だけどな

**名無しさん＠１周年** · 2017/05/24(水) 00:01:14.02

どうでもいい口座は全部同じパスで短くてOK

要は選択と集中
メインの口座同士しか決して大きな資金を動かさないこと

**名無しさん＠１周年** · 2017/05/24(水) 00:01:16.41

amaのパス4文字でそろそろ10年だわ

**ゆうこ** · 2017/05/24(水) 00:01:46.85

pasuwaado(´・ω・｀)ずっとコレ

**名無しさん＠１周年** · 2017/05/24(水) 00:02:53.29

馬鹿は何をしても無駄

大人しく適当に使っていれば良い。
今まで何も無かった人。これからもきっと何も無いよ。
今までにトラブルに巻き込まれた人。ご愁傷様。今後何をどうやってもまたトラブるからあきらめてろ。

**名無しさん＠１周年** · 2017/05/24(水) 00:04:26.24

有名な小説とか音楽の言葉ばかりになりそう

**名無しさん＠１周年** · 2017/05/24(水) 00:05:19.92

職場のイントラやＰＣのパスワード変更、20日経過した時点で
「あと10日で切れます」って出て実質一ヶ月じゃなく20日置きに
変えなきゃいけなくて面倒

**名無しさん＠１周年** · 2017/05/24(水) 00:05:50.45

共有8文字パスワード10年以上使ってるけど何の問題も起きたことない

**名無しさん＠１周年** · 2017/05/24(水) 00:06:07.40

わたしのちんちんはにぎってこするときもちよくなっておちんぽみるくがどばっとたいりょうにでてくるのです

これで50文字
なかなかきついわ

**名無しさん＠１周年** · 2017/05/24(水) 00:06:42.76

パスワードを20文字に変えたらモテるようになった

**名無しさん＠１周年** · 2017/05/24(水) 00:07:04.43

だって忘れちゃうんだもんな～。

**名無しさん＠１周年** · 2017/05/24(水) 00:07:36.69

名前＋生年月日
これが結局最強だよね
今まで破られたことないし

**名無しさん＠１周年** · 2017/05/24(水) 00:07:41.44

>>431
トラブルに巻き込まれてるだけでも・・・情報が漏洩してブラック連中にトレースされてるんだよね
一度何かで情報が流出してれば、何度も被害に会うのは必然なんだよね

最初の一撃を躱した人は大丈夫だが、躱せなかった人は橋頭堡を築かれてると思うべしだね

**名無しさん＠１周年** · 2017/05/24(水) 00:08:24.63

>>391
むかしニュー速とかvipでエｒ・・・自作ポエムを交換するときに使ってたzipとかrar、ロダのＤＬパス

「今日の４」は今日の日付の４桁　→　0524

そのうち今日の４ → きょうし → 教師とかになってったんだよな

**名無しさん＠１周年** · 2017/05/24(水) 00:08:44.70

しつこく変更求めて来るとこは無能と評価してる

**名無しさん＠１周年** · 2017/05/24(水) 00:08:54.28

高強度のパスワードを3か月おきとかに変更するのは意味ないというより
リスクがあるような気はしてた
変えないともし何かあったときに言い訳にされるんじゃないかと思って
変えてただけかな

**名無しさん＠１周年** · 2017/05/24(水) 00:09:17.62

全部同じにしてたら片っ端から乗っ取られてお買い物されたわ

**名無しさん＠１周年** · 2017/05/24(水) 00:09:42.34

俺のパスワードは

あｑｓｗでｒｆｔｇｙふじこｌｐ；＠：「」

打ち間違えが多くて、２０回に１度くらいしか成功しない

**名無しさん＠１周年** · 2017/05/24(水) 00:10:21.66

>>441
ツイッターとかドンドン個人情報要求してくるけど
何がどうあろうと入力しない方針

**名無しさん＠１周年** · 2017/05/24(水) 00:11:22.00

最後に一文字追加とかしてた(´･ω･｀)

**名無しさん＠１周年** · 2017/05/24(水) 00:12:05.77

祇園精舎の鐘の声

**名無しさん＠１周年** · 2017/05/24(水) 00:12:15.49

指紋と手静脈と網膜とパスワードの併用じゃだめなのか？
指紋は別人の指にコピーできると聞いたことがあるが
手静脈や網膜まですべてをコピーすんのは大変だろ

**名無しさん＠１周年** · 2017/05/24(水) 00:12:28.94

>>394
そんな感じ
「お前は今まで食ったパンの枚数を覚えているのか」
とかね

**名無しさん＠１周年** · 2017/05/24(水) 00:12:32.39

>>438
俺は、名前＋生年月日＋生年月日だな