【IT】「パスワードは定期的に変更してはいけない」 米政府©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
(全文)
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php そうだよな 日本人は集団催眠かかるから、馬鹿だよな 辞書にある言葉を並べるのは、破られやすいと聞いたけどなあ。 パスワードはwasuretaにした方が一番忘れなくていい。
豆な。 うちのwifiパス
秋深き隣は何をする人ぞ
を数文字改編した文字列
機器あたり一回だけならいいけど、毎日入れろと言われたら辛いなぁ 定期的な変更を強制する割には桁数の制限が有るようなクソサイトは滅びろ ま”
先入観で騙ると恥かくっちゅうことやね、補足で書き込みしてるのに
読まずに語ると、闇やねえ 好きな人や芸能人とかの生年月日はよくありそうだが、推測されそうだから、大っ嫌いな芸能人の生年月日とかはいいかもね。 大文字とか数字入れさせられると覚えにくいし打ちにくいもんな
長くても、仕事とかで打ち慣れたフレーズだと忘れんし、打ち間違えにくいし、なるほどと思ったら
PCでなくスマフォからだとめちゃめちゃ面倒じゃんかい WindowsのPIN方式は合理的だなとは思う。
LASTPASS使っているけど、なくなったらマジで困る。
Googleが買い取ってくれんもんかのう。 ILOVE○○(彼女の名前)をパスワードにしてた
風呂入ってる間に彼女にスマホ見られてた
浮気のメール見つけられちゃったけど
その夜は激しく愛し合った めんどくせえから どんどん推測できる長い文章を繰り返し使いまわすw うちの会社なんかパソコン使うのに1ヶ月ごとにパスワード変えさせられる。
変えないと期限切れで上司に言申告しないと使えなくなる。
しかも一度使ったパスワードは受け付けてくれずに弾かれるし・・
結局どっかにメモで書き留めないといけないからパスワードの意味ねえよw 生体認証に移行して欲しいぞ
サイトごとに変えてるの覚えてるの面倒、紙に書いて貼っておく訳にもいかんし とうきょうとたいとうくこまがたばんだいがんぐだいさんぶのほし 頻繁に変えているとたまに忘れて、ロックかかりそうになったりね >>538
パスワードの変更って、全部変える必要は無くて、一部を変えりゃいいんだから。
換えた部分だけ、書きとめときゃいいだろ。 >>25
jyugemu jyugemu…
パスフレーズが間違っています
jugemu jugemu gokoh no …
パスフレーズが間違っています
jugemu jugemu goko no sulikire…
パスフレーズが間違っています パス管理だけなら契約切れのガラケに登録して置くのが一番保存性が良い
スマホ端末は基盤がチャチだから何年か経つと起動さえしなくなる カスラックが狙っている気がするのは気のせいだろうか? 10文字以上のパス設定できないところとかほんとクソ やっと気づいたのかこの馬鹿どもは。
パスワード制約とかも長さくらいでいい >>1
どんなサービスも2段階認証にしてくれ
SMS,電話、FidoU2f,OTP、いくらでも出来るはずだ 定期的に変更していて覚えてられるとでも思ってんのかね
1箇所ならまだしも、PW要求するサイト2桁登録してるのがザラなのに
記憶だけで全部違うPWを定期的に更新して利用できる超人なんて滅多にいないだろうw >>550
ダメって、全部変えろって言われたの。
それじゃあ、どこかに全部書きとめるから、返って危ないよな。
ランダムな数字と文字をコアにして、これは換えないモノとしてどこにも書きとめず、
その都度、替える部分だけ書きとめれば、組み合わせが必要になり、それ自体が暗証番号なのにな。 一回漏れてる人は足跡残してるんだよね、変える以前に
根本的な情報が漏れてると想定したほうが良い
パスワード入れる以前に、致命的なデータが流出してると考えたほうが良い
漏れてるのはパスワードじゃないと気がつくべきw oppai
kyonyu
とか、パスワードしてるやつたくさんいそう >>526
>>487
作ってるトコが漏らしてる感が高すぎて
高額なことには絶対に使わない
ID:vAogKtTk0
おまえ散々精神疾患レスしといてそれはねえだろw
誰も相手しない病人に触ってやったんだから今すぐなんカスに帰れよ
現実を知らないのはゆとりレスのおまえだよ >>546
自分もガラケーに登録してる
登録してる内容も、自分にしか分からないような連想のヒントしか書いていないので、仮に読まれても普通の人はまず分からない
問題は、ヒネリ過ぎた連想のヒントだったり、ボカし過ぎて、自分ですら答えが分からなくなる時がある事だ でも歌詞の一部をパスフレーズにしたらなぜかJASRACがやってくるんでしょ? >>557
あのさ、何度もニュースにすらされることを否定してどうするの?w >>557
他人を精神障害というのは簡単なんだよね
これ、自己防衛の話だし 定期的は意味わからんな
流出してすぐ変えるのはわかるが、変える癖ついてると悪意の誘導画面も引っ掛かりやすいし >>557
大体、お前が粘着してくれてるだろ・・・結果が全てやね 最低64文字って面倒くさくねぇか?
スペルミスしそうだし パスフレーズは辞書アタックで簡単に破られそうだけど、違うの?
ていうかランダムな英数記号なパスワードなら8桁もあれば十分で、
問題は総当たりができないようにすることだと思うんだけど。 あと秘密の質問とかいうのも癌だよな。
好きな食べ物とか好きな映画とか母親の旧姓とか、アホかと。 >>26
JNB銀行の1分ごとに6桁数字のパスワードが変わるのは有能。
ためしにマツ番をわざと間違えてやったら、ちゃんと弾いたw
数回アウトで2時間入力不可だったような >>2
それ、カード会社から問い合わせが来るはずでは? 今パスワードを憶えているのはアマだけで他は忘れた思い出すのが大変 20年同じパスフレーズ使ってるが破られたことはない。 keepass使ってるが、パスワード作成もしてくれるので便利 >>567
最低64文字だぜ、単語数は7〜8個になるよな
単語の種類は何千もあるだろ
36進数8桁とは比較にならないくらいの、探索範囲になるんじゃね?
但し、意味の無いフレーズも含めての話だから、実際はもっと狭いだろうけどさ
意味の無いフレーズだと覚えるのも面倒だしな 安全なパスワードと安全な管理の方法
絶対忘れない秘密の4文字 と 絶対に覚えられない長いランダムな文字列
この二つをもちいてパスワードを作る
覚えられない文字列はメモしてパソコンに貼り付けておく
外部から進入する手口は誰かが使ったことのあるパスワードを集めて辞書攻撃
ランダムな文字列を試す総アタック
いづれも回避するには長いほうが頑丈だが覚えられないリスクあるが
ネット上からパソコンに貼り付けた文字列は見れない
内部犯 家族同僚や出入り業者が盗み見ると簡単に進入される
しかし秘密の4文字を素人が予測するのは困難なので十分に効力がある
最近流行の生態認証やPaSoRi(FeliCa)を使ったスマホ認証も手頃になってきた
しかしウィンドウズを信用できないので100%安全はない パスワードが簡単すぎます。
8文字以上英数混在にする必要があります。
以前使われたパスワードです。
以前使われたパスワードに類似しています。
ウガーーーーー!!!!! 大学の学籍番号をパスワードに社会人になっても使ってるね >>580
記号は1文字以上必要です
大文字英文字は1文字以上必要です >>582
高校の時に使ってた下駄箱の南京錠の番号4桁を銀行の暗証番号にしてる フレーズにすれば、お前ら
マンコ舐めたい
とかワンパターンになるだろうが! 『(*'ω'*)っpasuwaado_(┐「ε:)_ズコー』
記号使えれば↑で 店の予約サイトくらいで英大文字小文字数字を組み合わせろとか強制してきてアホじゃないのかと 4桁の数字認証で十分。
ATMみたく、数回の入力ミスで数時間ロックしちゃえばいい。
急いでる方は応相談とかで。 >>567
10回アタックしてだめだったら24時間空けるとかでいいよな パスフレーズ早く対応して欲しい!
なおかつ日本語も対応させて欲しい!
「the bitch must die in 想像を絶するような苦痛!」
とか覚えやすい っつーか、接続IPをプロバイダとか地域で制限するとかやるべき。 またアホーがアホやねん。強制的に変えさせよる。一番不便。 職場のネットワークが60日でパス変更なんだが
末尾一文字変えるとすると毎回今末尾なんだっけ?ってなって打ち間違えやすくて面倒臭い >>589
もうね、システム手帳に全部書いてるよ
サイト名とメアドとパスワードを並べて書いて手帳に入れて持ち歩いてる
親なんか、でかいポストイットに全部書いてパソコンに貼ってる
他人にやられるリスクより
自分で開けなくて困る方が頻度高い 俺はガンダムの機体番号にしている
ガンダムにもいろいろあるからな うちは前回、前々回と同じのは使えないのでダミーを二回挟んで戻してしまう
これはひっかからない無意味 >>590
今もたまにvipに神が降臨してやってるぞ
ロr……面白い画像とかを上げてくれる パスワード生成関数に統一するのが分かりやすいぞ。
安易な関数だとばればれらしく、ヤフーはそれをcheckしてて変更できなかったりする。 ネットバンクのログインパスワード忘れた時はかなり面倒だった
本人限定受け取り郵便を受け取って、それに書かれてる仮のパスワードでログインしてパスワード再設定って感じだった気がする
それ以来もう紙にパスワード書いてるw 専門家ヅラして
「パスワードを定期的に変更してくだしあ」
とか言ってた馬鹿息してるぅwwww
俺なんか一回も変えたことねーよ >>583
秘密の質問自体が
全く興味ねーことだったりするんだよな
初めて飼ったペットの名前は?とか
初めて行った旅行先は?とか Windowsのフリーソフトで
パスワード管理に向いてるようなもん何か無い?
アカウント
パスワード
なんでそのアカウントを作ったか、なんでそのパスかなんかを覚書できるメモ欄
そんなのが1000個くらい登録しても平気で使えるようなのがいい >>613
で、答えても平仮名・カタカナの違いで通らない事も多々あるというな いつの間にかパスワードを変更する事が目的になっちゃってるんだよね パスワードの変更なんか、既に見破られた奴が常に盗用されているのを防ぐくらいしかねーだろ。
だったら前回ログインを見やすくするとか別の方法でやる方が先決だろ。 >>610
うちもだよ!
しかも書いた紙をスマホで写真で撮って入れてる
スマホは指紋認証とかだから安全な気がするし
そもそもベッキーじゃないから >>617
「秘密の質問はなんですか?」
って聞いてくるサイトけっこうあるよ
こないだもそれで困って結局またリセットした
毎回リセットするサイトって、あるよ 昔、真に受けて変更したら忘れてえらい目にあったことがあるから、最近までパスワードは一つだけにして10年くらい変更してない。
変更を強制されたらしょうがないから機器にマジックで書いておこう。 国もしくはシマンテックとかの世界的なセキュリティ企業が主体になって、
ハードウェアのワンタイムパスワードでログインを共通化すんのが一番なんだけどな >>619
スタンドアローン機に手書き保存が1番だよな >>621
せめてサイト毎くらいは分けた方がいいよ この辺の現実的なセンスは、田舎脳な糞役人に見習ってほしいな 昔々あるところにおじいさんとおばあさんがいました
はよく使われると思う ■ このスレッドは過去ログ倉庫に格納されています
