【IT】「パスワードは定期的に変更してはいけない」 米政府©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
(全文)
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php >>580
記号は1文字以上必要です
大文字英文字は1文字以上必要です >>582
高校の時に使ってた下駄箱の南京錠の番号4桁を銀行の暗証番号にしてる フレーズにすれば、お前ら
マンコ舐めたい
とかワンパターンになるだろうが! 『(*'ω'*)っpasuwaado_(┐「ε:)_ズコー』
記号使えれば↑で 店の予約サイトくらいで英大文字小文字数字を組み合わせろとか強制してきてアホじゃないのかと 4桁の数字認証で十分。
ATMみたく、数回の入力ミスで数時間ロックしちゃえばいい。
急いでる方は応相談とかで。 >>567
10回アタックしてだめだったら24時間空けるとかでいいよな パスフレーズ早く対応して欲しい!
なおかつ日本語も対応させて欲しい!
「the bitch must die in 想像を絶するような苦痛!」
とか覚えやすい っつーか、接続IPをプロバイダとか地域で制限するとかやるべき。 またアホーがアホやねん。強制的に変えさせよる。一番不便。 職場のネットワークが60日でパス変更なんだが
末尾一文字変えるとすると毎回今末尾なんだっけ?ってなって打ち間違えやすくて面倒臭い >>589
もうね、システム手帳に全部書いてるよ
サイト名とメアドとパスワードを並べて書いて手帳に入れて持ち歩いてる
親なんか、でかいポストイットに全部書いてパソコンに貼ってる
他人にやられるリスクより
自分で開けなくて困る方が頻度高い 俺はガンダムの機体番号にしている
ガンダムにもいろいろあるからな うちは前回、前々回と同じのは使えないのでダミーを二回挟んで戻してしまう
これはひっかからない無意味 >>590
今もたまにvipに神が降臨してやってるぞ
ロr……面白い画像とかを上げてくれる パスワード生成関数に統一するのが分かりやすいぞ。
安易な関数だとばればれらしく、ヤフーはそれをcheckしてて変更できなかったりする。 ネットバンクのログインパスワード忘れた時はかなり面倒だった
本人限定受け取り郵便を受け取って、それに書かれてる仮のパスワードでログインしてパスワード再設定って感じだった気がする
それ以来もう紙にパスワード書いてるw 専門家ヅラして
「パスワードを定期的に変更してくだしあ」
とか言ってた馬鹿息してるぅwwww
俺なんか一回も変えたことねーよ >>583
秘密の質問自体が
全く興味ねーことだったりするんだよな
初めて飼ったペットの名前は?とか
初めて行った旅行先は?とか Windowsのフリーソフトで
パスワード管理に向いてるようなもん何か無い?
アカウント
パスワード
なんでそのアカウントを作ったか、なんでそのパスかなんかを覚書できるメモ欄
そんなのが1000個くらい登録しても平気で使えるようなのがいい >>613
で、答えても平仮名・カタカナの違いで通らない事も多々あるというな いつの間にかパスワードを変更する事が目的になっちゃってるんだよね パスワードの変更なんか、既に見破られた奴が常に盗用されているのを防ぐくらいしかねーだろ。
だったら前回ログインを見やすくするとか別の方法でやる方が先決だろ。 >>610
うちもだよ!
しかも書いた紙をスマホで写真で撮って入れてる
スマホは指紋認証とかだから安全な気がするし
そもそもベッキーじゃないから >>617
「秘密の質問はなんですか?」
って聞いてくるサイトけっこうあるよ
こないだもそれで困って結局またリセットした
毎回リセットするサイトって、あるよ 昔、真に受けて変更したら忘れてえらい目にあったことがあるから、最近までパスワードは一つだけにして10年くらい変更してない。
変更を強制されたらしょうがないから機器にマジックで書いておこう。 国もしくはシマンテックとかの世界的なセキュリティ企業が主体になって、
ハードウェアのワンタイムパスワードでログインを共通化すんのが一番なんだけどな >>619
スタンドアローン機に手書き保存が1番だよな >>621
せめてサイト毎くらいは分けた方がいいよ この辺の現実的なセンスは、田舎脳な糞役人に見習ってほしいな 昔々あるところにおじいさんとおばあさんがいました
はよく使われると思う パスワード生成関数ならば、メールアドレスかサイトアドレス+IDだけを記録しておくだけで何個でも対応できるし、
忘れる・入れなくなる危険は低い。
単純だとバレる。
たとえばSHAとMD5の部分列を足し合わせるとかだと安易はパスワードはやめてとか言われる。
ハッシュとソルト、ストレッチングを正しく理解する:本当は怖いパスワードの話 (1/4) - @IT
http://www.atmarkit.co.jp/ait/articles/1110/06/news154.html 内部の人間が入手した情報を実際に不正利用するまでには間を開けると
思うんだよね、自身に捜査の手が及ぶ可能性を低くするために。
で、このタイプの犯罪から身を守るには短期間での変更は有効かと・・・ お前らパスワード忘れないように
付箋に書いてモニターの枠に貼っとけよ あ、「パスワード変えましょう」メール配信のタイミングの一つには
内部不正を察知した時だと聞いたことがある。
確かめるすべはないけど、腑に落ちる話 パスワード忘れ&初期化に一筆書かせるクソ会社もあるなぁ
セキュリティを高める方向が間違っているかと めんどくさいから小文字大文字交互に変えてただけだな ituneのパスワードは大文字、数字を入れなきゃいけなくて
しかも前に使ったことのあるパスワードはダメ
面倒くせえ
毎回パスワードがわからなくなってリセットしてる 固定のパスワードじゃねえと、久しぶりにパスワード聞かれるとわからなくて、結局パスワード変更することになる
ほんと不便 >>11
パスワードにそれは危険だと思う。ファイル名なら歓迎する。 バレにくいパスワード生成関数の作り方。
ハッシュとソルト、ストレッチングを正しく理解する:本当は怖いパスワードの話
http://www.atmarkit.co.jp/ait/articles/1110/06/news154_2.html
オフライン攻撃の前提として、すべてが「ばれている」と想定する
ハッシュ値のほか、ハッシュアルゴリズム、ソルト(後述)、ストレッチングの有無や回数(後述)はすべて攻撃者に「ばれている」状態で、それでも元の(平文の)パスワードが保護できるかを考えるべきです。
MD5だから危険なのではない
「MD5だから危険なのであって、SHA-256などを使えば安全なのだろう」と思った人も少なくないのではないでしょうか。
しかし、これは誤解なのです。GPUによる総当たりも、レインボーテーブルも、MD5特有の性質を利用した手法ではありません。
たとえSHA-256やSHA-512を用いたとしても、安全というわけではありません。
対策1:ソルト
サイト側の対策として、まずソルト(Salt)は必ず採用すべきです。ソルトというのは、ハッシュ値を計算する前にパスワードの前後に付け加える短い文字列です。
対策2:ストレッチング
ストレッチングというのは、ハッシュ値の計算を何回も(1000回〜数万回程度)繰り返すことです。
一般にハッシュ関数は高速性を求められますが、この高速性は総当たり攻撃に対しては脆弱な方向に働きます。総当たりに要する時間も短縮されるからです。
仮にストレッチングを1万回とすると、先に紹介した「8文字英数字のパスワード」のハッシュ値をすべて求めるのには30万時間、約34年かかることになります。
暗号化の併用も可能
攻撃者によってすべての情報が盗まれるという前提に立つと、パスワードを安全に守る現状のベストプラクティスは「ソルト+ハッシュ+ストレッチング」です。しかし、この方法で将来にわたって安心というわけではありません。 俺はサイト名、ID、パスワードをちゃんとフォルダに入れてデスクトップに置いてあるから安心 NSA,DIA,CIA,NCS 等の最先端分野では、既に量子コンピューターが実用化されている。
その先をやっている。パスワード解読が一瞬にしてできる。
なぜならば、ソフトのソースコード上には対応する真性パスワードが散らばって格納さ
れているので、デバッグをすれば、パスワードが格納されているシャッフル領域自体を
見つけることすらできる。
パスワードは、仮に OneTime Password が、既に出回っているが、それすら、 Debug
することで、ソースコードを見つけることが出来る。
所謂、公開鍵・秘密鍵の問題は楕円関数の逆解析で解けるために、一方向ハッシュ
関数などで誤魔化している。 今数えたら32の設定があった
もう使ってないのもあるけどさっき数年ぶりにmouse PC にログインして
新パソぽちった >>640
間違って移動させても見つけられるよう、また他と混じってゴミ箱に入れてしまわないよう、
フォルダ名や見た目も工夫しないとな。 >>66
「飯は美味くつくれ」
すぐ破られるなこれ パスワードで本当に守られるの?
もっと根底に進入されたりすんじゃないの? ランダム生成の複雑な文字の羅列って堅そうに思えるけど、実際には有り得ない文字列だからキースキャンとかされたら一発なんだよねw パスワード作成代行業者ですがうちに登録しませんか? これは?? パスワード保存・保護用で。
VeraCrypt - Wikipedia
VeraCrypt は オープンソースでフリーウェアのオンザフライ暗号化に使われるユーティリティソフトウェア。
VeraCryptはファイルやパーティションの暗号化や、ストレージ全体の暗号化が成されたブート前認証付き仮想暗号化ディスクを作成することができる。
TrueCryptはシステムパーティションに対し、PBKDF2-RIPEMD160アルゴリズムで1000回の反復を行うが、VeraCryptは327,661回の反復を行う。
標準コンテナとその他のパーティションに関してはRIPEMD160で655,331回、SHA-2とWhirlpoolでは500,000回の反復を行う。
これにより、総当たり攻撃に対して最低10倍から最大300倍強くなる。
二重底で鉄壁の隠蔽! TrueCryptの「隠しボリューム」
TrueCryptの最大の特徴は「隠しボリューム」。
通常であれば、前のページで作成した隠し領域「外殻ボリューム」があれば、ファイルを安全に隠しておけるが、もしかすると外殻ボリュームの存在がバレてしまうかもしれない。
「隠しボリューム」はそのときのために、外殻ボリュームの内部にもう1つ、秘密の隠し領域を作っておく「二重底」の機能だ。
外殻ボリュームにはダミーのファイルを入れておき、本当に重要なファイルはさらに内側の隠しボリュームに入れておく。
隠されている領域の奥に本当の隠し領域があるとは普通は考えないので、重要なファイルは難を逃れられるというわけだ。
http://www.oshiete-kun.net/archives/2009/03/23tc3.html HDD暗号化でパスワード一覧を保護したところで、
もとのパスワードが「AAAAAAA」「000000000」とかだったら意味ないから
サイト毎、最大長のパスワードを生成する統一のパスワード生成関数を設計するのがいいんじゃないか。 >>627
それサイト側がザルだとどうしようもない >>656
サイトの問題はたしかにあるけど、それは仕方ない、手のうちようがないからおいといて、
サイト側でやってるハッシュ化テクニックをじぶんのパスワード生成に利用しようって話。 やっとわかったか、ユーザーに管理させるパスワードのナンセンスさに。 パスワード登録時の話だけれども、大文字小文字混在必須/混在不可能とか、文字数がm字からn字までしか使えませんとか、記号必須/記号不可能とか、個性出すのをやめてほしい。 自分用パスワード生成関数が、たとえばSHAやMD5をしただけだったら、
予めそれ用の辞書が用意されていれば、一個ばれたら他もそれで生成してると推定され
芋づる式でばれるから、複雑なパスワード生成関数を用意しておけば安心ってこと。 ネットバンキング用のパスワードだけは、ランダム文字列を生成して使ってる。
紙に書いて保管しているのが少々心配。 4通りくらい使ってるな。昔のままと今のメイン、で大文字混ぜろとか数字だけとかのメインが使えないパターン >>1
女神転生1のパスワード爺さんが最強だと思う 大文字混ぜろ
_は使うな
8文字以上
とにかくマイルールがウザい 愛用してる機械の型番とかにしてるなたまにど忘れした時にググったら出てくる
ただ古すぎて検索に引っかからんのもちらほら出てきた
ボケたら二度とパスワード解除出来ねえだろうな >>1
GmailやYahooメールその他あらゆるものを2段階認証出来るものは全部した。
糞めんどくさくなった。 >>167
関係ないけど、荷物追跡番号とかでケツにスペース入っただけで桁数が合わないとかハイフンは除けとか、そんなもんお前の方で消して扱えってのあるよな >>62
直ぐに戻すのはダメでも、最後の数字を1から0まで変更の度に回していくと問題ない会社もある >>151
偽ドル札の権威が、動脈認証にセキュリティーはないと言い切ってた
都銀のやってる認証システムは無駄らしい うちの社内システムの管理ユーザーだと、
3ヶ月毎に変更
似たフレーズ不可
英数字記号を含める
過去24個と同一の物(似た物も)は不可
で、考えるのがキツイ
特に最後のがローテーションできなくてキツイ
管理ユーザーだからって限度があるだろ… 同じパスワードでも個人によって入力のリズムに癖があって、識別出来るらしい メールアドレスIDが
脆弱性を高めているわ
ほぼ公開情報だぜ >>677
ソルト(ジェネレータ、パスフレーズ)は自分がしってる文字列や画像に固定しておき、
ストレッチング回数(ハッシュ計算回数)を少しずつ増やしたらどうか。
>>639 つまり
米政府「俺がハッキングできないからパスワード変えるな!ヽ(*`Д´)ノゴルァ」
って事? ■ このスレッドは過去ログ倉庫に格納されています