【IT】「パスワードは定期的に変更してはいけない」 米政府©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
(全文)
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php 愛用してる機械の型番とかにしてるなたまにど忘れした時にググったら出てくる
ただ古すぎて検索に引っかからんのもちらほら出てきた
ボケたら二度とパスワード解除出来ねえだろうな >>1
GmailやYahooメールその他あらゆるものを2段階認証出来るものは全部した。
糞めんどくさくなった。 >>167
関係ないけど、荷物追跡番号とかでケツにスペース入っただけで桁数が合わないとかハイフンは除けとか、そんなもんお前の方で消して扱えってのあるよな >>62
直ぐに戻すのはダメでも、最後の数字を1から0まで変更の度に回していくと問題ない会社もある >>151
偽ドル札の権威が、動脈認証にセキュリティーはないと言い切ってた
都銀のやってる認証システムは無駄らしい うちの社内システムの管理ユーザーだと、
3ヶ月毎に変更
似たフレーズ不可
英数字記号を含める
過去24個と同一の物(似た物も)は不可
で、考えるのがキツイ
特に最後のがローテーションできなくてキツイ
管理ユーザーだからって限度があるだろ… 同じパスワードでも個人によって入力のリズムに癖があって、識別出来るらしい メールアドレスIDが
脆弱性を高めているわ
ほぼ公開情報だぜ >>677
ソルト(ジェネレータ、パスフレーズ)は自分がしってる文字列や画像に固定しておき、
ストレッチング回数(ハッシュ計算回数)を少しずつ増やしたらどうか。
>>639 つまり
米政府「俺がハッキングできないからパスワード変えるな!ヽ(*`Д´)ノゴルァ」
って事? これだけ生体認証技術が進んでるんだからスキャナーで個体認識させりゃいいんじゃないの グーグルとか、パスワード変更してムダだとおもうんだが。
ユーザーのメールやGドライブの全文検索が掛けられる。
社員の全員が盗み見できるとはおもえないが、
グーグルの機械(全文検索エンジン)とか特定の人物には盗み見ができるはずだ。
そうでなければ全文検索できない。 1から10まで
数字を頭の中でイメージしながら数えろ
次に1から10までの数字の中で偶数だけ数えろ
次に1から10までの数字の中で奇数だけを降順に
数えろ
5桁の数字をイメージしろ 並びは関係ない 5桁だ
10回イメージしろ
キャッシュカードは何枚持ってる?
暗証番号は5桁だぞ >>264
googleとか違う端末からログインされたらメールくるだろ。それで十分。 >>1
これかなり前から効果がある派と逆効果派とで議論されてたよね
俺も頻繁に変えることの方が危険だと思う
なぜなら、頻繁に変えるようにすると憶えるのが大変だから安易なパスワードを設定しがちになるのよ
複数のサイトで似たようなワードを使い回すようになったりね
そっちの方が遥かに危険だ
とても憶えられないような完全に無意味な英数字の配列をそのサイトだけのパスワードにしてブラウザに記憶させてずっと変えない方がマシ
ブラウザに記憶させることを危険視する奴もいるが、そこから漏れる状況ってのは既にPC自体をハックされてるのと変わりないので危惧しても無駄 > 最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
パスフレーズ作ったって
You have to change the passphrase and you can use space, number and character.
とかいうパスフレーズがどうせ流行ってみんな使うんだろ? 日本語が入力できたら楽だし安全性も高まるんだろうに 64桁を入力する手間を考えよ
wwwすら削られたのに パスワード考えるのめんどくさい
飼い猫の名前と数字組み合わせてるんだけど
数字の方を忘れちゃう >>688
滅多に利用しないサイトは面倒でパスワード変更しなくなるんだよね
それ以前にサイトの存在すら忘れていくようになる パスワードは全く意味のない16桁のを覚えて使ってるけど
これ変えるのは大変だ >なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
パスワードを変更する際に抜かれる危険だってあるんだよ。 https://howsecureismypassword.net/
このサイトで入力してみて緑色になるパスワードでないと危険だが、かなり長くて
複雑でないと今となっては厳しいようだ。8桁英数記号でさえも数分で破られる時代だ。 グイン・サーガの巻毎のタイトルをパスフレーズにしてる なぜユーザー側がいちいち変更してストレス受けなきゃいけないのか
相手側から自動生成認証パスを作成して送って来てくれたら楽ちんだ マジでパスワード増え過ぎ。
なんとかならんのかな、これ。
いやさぁ、自分が死んだ時、恐怖じゃね?
親近者に教えておかないといけないのかな。 >>702
俺俺詐欺に注意しろって良いながら被害にあう人ですねwww パスワード生成関数はスルーか。
どのサイトに対しても統一のパスワード生成法を用意しておけば
マスターパスワードと、サイトIDさえとっとけばいいんだ。 最低64文字でスペースも入れられる「パスフレーズ」なんて、正確に覚えておけるわけないじゃん。
結局は、"Password.txt"というようなファイルを作って保存しておくことになるんじゃないの? ただ、パスワードの使い回しという別の問題は残るけどね。 >>17
被害を受ける期間が短くなるから無意味ではない。 >>702
そんなところに確認のためにパスワード入れたら、かえって抜かれませんか? アメリカがエシュロンやプリズムでネット収集しているのに余計な手間がかかるからだろwww アメリカがエシュ ロンやプリ ズムでネット収集しているのに余計な手間がかかるからだろwww 更新時免許証もパスワード作らされたんだけどなんかもう忘れちゃったんだけどどうしよう >>14
「オムあんこ、オムあんこ、おむアンコ、さて、おまんこって何回言った?答え壱回」
かな漢字変換できないとダメか。 >>24
俺レベル20の呪文覚えてるぞ
MP使うと竜王に勝てない >>717
更新のときまた作らされるよ。結局この5年間、パスワード使う機会なかったけどね。 >>701
うちの会社がそう。
そして一日仕事できない 現代に働く上でストレスだわな、このパスワード変更
社内システムだのいろいろ使ってると、それぞれパスワードに求められる条件も、変更しなきゃいけない時期も違ったりして
常に何種類かのパスワードをもっててそれらをばらばらに変えて管理していかないといけない
こんなの日常でまともにやってられるわけない
結局、ベースとなるパスワードをまず持ってて、それをもとにして求められる桁数なりにアレンジして、
変更も、もう変え方を決めてて、数字を1個つけたしてまた消して戻すとかな
そんな感じでなるべく単純な作業になるような変え方をすることになる
ベースとなるパスワードがばれたら簡単にアウトだな、個々にはね
変更のバリエーションも決まっちゃってるし、あんま意味ない
進歩してくれないと困るところだ いい加減、パスワードとかのank文字は止めろよ
指紋とか使えるだろ >>722
なんで10回も間違えてるのに気付かないんだよ。。。 パスワード変更が問題ではなくて、ただのパスワード文字問題
要するに、パソコン周辺のパスワード文字張り問題と同レベル
面倒なら生体認証で
それが嫌なら社内ICカード認証方式(社外持ち出し不可)にすればよい >>708
メルアドなんかはフレーズで作ってるから
その気になりゃ出来ないもんでもないと思う
と思ったけど64文字って結構あるな
oppaidaisukiyumeoppai
これで20文字だもんなぁ >>3
> たしかに
> 会社で数ヶ月置きに変えろってなるから適当なの使いまわしてたわ
パスワードを付箋に書き留めてPCに貼ってるヤツが多発する >>727
日頃は聞かれないんだよ。biosパスワードみたいなもんで再起動したときだけ聞かれる。
しかも三ヶ月ごとに変更が強要される。
朝PCの電源を入れても画面が真っ黒。なのでリターンをたたたんっと三回押す。
モニタの電源がようやく入って、気づいたら3回間違ったことになってる。orz
正しいパスワードを入れるもタイプミスしてエラー
あれっ、このパスじゃながったっけ、と思って一つ前のパスを入れる、当然エラー
二三、他のパスを試すがエラー。
残りあと2回、最初のパスを再度試そうか悩む… 毎月、変更するパスワードは201705が入ってるな。
意味がない… パスワードを日本語や漢字にするのはアメリカが禁止してるんだっけか >>730
PWは〜ではありません。って書いときゃ誰もPWだとは気が付かないだろ。
頭は生きてるうち使わなきゃ。 英数字だけだからパターンが少ない。母国語もパスワードにできるようにしろ。 大文字子文字英数字をいれて覚えやすくしときゃいい
EGASHIRAbokinkin250
とかハックされたこともないな バイオハザードみたいにその辺りを探索してたらパスワードのヒントが転がってる環境にすればいい
忘れても謎解きすればすぐにわかる明瞭PW スレタイが変、というか印象操作
簡単なパスワードを定期的に変更するより、変更はしなくて良いから長い複雑なパスワードにした方が安全かもよ、っていうだけの記事 >>730
うちみたいにパスワードは90日以内に変更、最近8回のパスワードと3文字以上共通してたら禁止、「辞書に載っている言葉、その一部、似ている文字列」は禁止、かならず英大文字数記号を使用、キーボードの並びを使ったものは禁止、パスワードリセットは部長承認が必要、自分のPCにテキストで保管するの禁止、とかやられると、憶えられないからみんなどっかにメモるんだよな。 iTunesアカウント非常にウザい
大文字小文字数字入れて8文字以上にしろだの秘密の質問と答えを3つ入れろだの2年経ったらパス変えろだの以前に使ってたパスは一年使えないだの あと、必ず記号を使えと強制すると、キーボードが英語キーボードとして誤認識されてる状態では必ずログイン失敗で締め出されるのもあるあるだな。
表示されないから違う記号が入力されるのに気づけない。 定期的にパスワードを変更するというのは
パスワードを突破する手段としてブルートフォースがスタンダードだった時代だしな 他のユーザーと同じパスワードは駄目ったいうパスワードポリシーも聞いたことある。
この場合、同じパスワードを設定しようとしたらどんなエラーメッセージが出るのかな?
「このパスワードは使用されています」とか?www >>731
それが分かってるなら対処できると思うんだが。
あと、画面が真っ黒の時にEnter押しちゃダメなのは常識。
普通はCtrlとか押す。 >>746
最近のWindows Serverとかはそうだね。
パスワードにユーザー名を含めることはできません、とか言われる。 ITのコンプライアンスだと3ヶ月に一変変えないといけないルール
また変わるんですかww
日本は追従型の国にだからめんどくせぇww >>748
他のユーザーと同じパスワードを設定しようとすると
「パスワードにユーザー名を含めることはできません」って言われるの?
じゃあもしそのエラーがでて、しかもパスワードにユーザー名が含まれてなかったら
他のユーザーとパスが同じってこと? 長くて難解にして特定単語は使わず頭で覚えさせて、変わりに定期的には変えないが効果的なんだよね
定期変更はパスの単純化に流れるからな パスフレーズが導入されたら「インド人を右に」って設定してしまう自信がある >>755
あれ?インド人右だっけ左だっけ?
と、どうでもいいことを悩み出すとかありそうw
まあパスワード的には「ザンギュラのスーパーウリアッ上」の方が辿りにくそうではあるがw お気に入りの歌詞をパスフレーズにしたら、JASRAC飛んできたりして これは思ってた。
ちょっと理由が違うが、パスワードを送信したり変更したりする瞬間が、キーロガーで抜かれる危険なタイミングだからな。
たまにしか使わないサイトなんかは封印して、ずっと変えないほうがマシ。 >>756
メモ帳やExcelに、Webサイトごとに、書いて
コピペしろよ。
上の方には意味のないことや、しょうもないことを書いてカモフラージュしとけ
もちろんファイル名をパスワードなんて名前にするなよ。
拡張子をシステムファイルてきなものに変えるのもOKだ >>751
失礼、レスを読み間違えていた。
他のユーザーのパスワードと同じだと拒否されるなんていう欠陥ポリシーあるの?
拒否されたパスワードで全ユーザーに総当たり(各ユーザーに対しては1回)できちゃうじゃない。 >>638
その通り危険なんだけど3ヶ月毎に連想しにくいパスワードを考えるのは面倒くさい上に従業員全員の手間になるから結果として
そういうパスワードの使い回しをやる層が多数出てくるのは止められない
結果としてパスワードを定期的に変更させる取り組みは意味が薄いのでやめるべきだ、ってのが昔から主張されてる話だわな ■ このスレッドは過去ログ倉庫に格納されています