【IT】「パスワードは定期的に変更してはいけない」 米政府©2ch.net
レス数が900を超えています。1000を超えると表示できなくなるよ。
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
(全文)
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php Googleはあきらかにパスワードしらずとも社員は覗けるはずだ。
上でスノーデンの記事でも指摘されてるが。 パスワードで保護されてるユーザー領域に全文検索かけられる
=少なくとも機械はのぞいてる。 newパスワード
「在日チョンは日本からでていけよ!」 てかさ、ひらがな設定できるようにしてほしいよな
半角英数字のみってのが無理がある 日本人の場合はローマ字文章が結構強度高そうだと思う 「最悪のパスワードベスト10」に自分のが入ってた時の絶望感と言ったら・・ >>801
モロ秘密の質問の答えに当たる内容要っちゃってその後にアカウントに侵入してパスワードリセットしてきたアホがいた
本気で個人ターゲットにされたときの怖さはこれで身にしみた
もちろん、こんな露骨なことやったら流出元が即特定されるので、あまりないと思うが 解読側の方が、資金豊富で、時間もあるからな。大事なことは未だに口頭 俺の頭が悪いのか、「私はロボットではありません云々」の画像選択問題が稀に難すぎる; >>305
デレデレデレデレデレデレデレデレデーデ♪ >>711
zipはブルートフォースで開けるからそういうツールあるんじゃねえの 昔は特定の複数単語を、前からと後ろから並べたり、
他には奇数文字、偶数文字目順にならべるとか、
人には覚えやすいけど、ランダム文字列になるパスになるよう工夫してたな。
今は更に工夫。 音楽やってるので、有名メロディーの音階の頭文字とかいうパターンも まーせっかく盗んだり解読したパスが、
定期的に変更されると処理の手間が増えて面倒だからやめろ、
と遠回しな方便でいってるんだろうけど。 世の中パスワードが増えすぎてどれがどのパスワードか忘れよる 2バイト文字のパスワード認めれば良いんじゃない?
漢字が入ったパスワードを破るのは困難だろ 一回破られたら
それで終わりだから
変える意味が無い >>831
その「最悪のパスワードベスト10」のパスワードを10個全部繋いだらどうだ? 覚えやすいパスワードにするより
意味不明の文字と数字の羅列の方が有効だろう アメリカさん、そのパスフレーズとやらに漢字も使えるようにしてくれよ。 パスワードは全部忘れればいい
登録したメールのパスだけあればいい Yutei Miyao Kimuko Horii Yuji Toriyama Akira p pppp ppp ppp pppp ppp ppp pppp pp パスワード忘れて、その都度
「パスワードを忘れた方はこちらから」
でパスワード再設定したら駄目だろうか 大文字小文字数字混在の乱数生成の暗証なら
64桁ぐらいなら暗記できるよ
記号が入ったらもうちょっと短くなる >>860
数分毎に変わっても出来るん?(´ω`)ノシ >>832
秘密の質問こそいらないわ
意味が違うこと書いといた方が安全て記事も見る
「Q:好きな食べ物は?」「A:東芝」みたいに >>56
それサイトAとサイトBで同じパスワード使ってることがバレるからおすすめしない 新鮮なパスワードだから破られ難いなんてことはないってすぐ分かるよね たまに
Passwordを
Passwardに変更を繰り返してるがここ
10年破られたことないぞ。 「お願いパスワード変えないで監視の手間が増えるから」
ってことでしょ いい加減iPhoneの指紋か静脈認証でやってくれや
パスワードフォルダがいっぱいだ >>869
なんでそうなるw
ドングル壊れると悲惨じゃん
使ったことなさそうな
想像がおぼついてない A君はネットからパスワードジェネレータというランダムな文字列を
生成してくれるソフトをダウンロードしてそれを使って生成した
パスワードを利用していた。ところがある日。 macならパスワード作ってくれるから、それ使えば良いんじゃね? パスワード生成ツールで3回以上生成ボタンを押したものを使えとかの謎ルールもあったな。 いいくにつくろうかまくらばくふ→11922960kama9raba9fu >>814
卑猥な言葉は、ミュージシャンの名前などと並んで最もよく使われるパスワードのひとつ。 油断して作ったパスワードって短くても忘れるよね
iphoneの復元パスワード(4文字)を忘れてしまって
出荷状態に戻すのも面倒で放置してる パスワードに関する問題の殆どはアルファベット数字記号の一部しか使えないという所に起因してる
漢字カタカナひらがな等使える様にすればいいだけなのに
何で極端に文字数が少ない低脳民族に合わせなきゃならんのだ >>822
ほぼ同じ運用してるわ
現状ではコレが一番強固で、しかも利便性もデータ安全性も高いよな 仮に自分が吉田だとして、
会社の事務用端末が3ヶ月ごとにパスワード変更求めてくるから
yoshida1、yoshida2、yoshida3を使い回してるわ >>887
定期的にパスワード変更要求してくるうんこに対応するにはそれが良さそう keepassでもlastpassでもいいけど
クラウドで管理すると楽だな
当然2段階認証と組み合わせなきゃいかんけど
自分自身が忘れたりメモをしない癖を持つリスクが高い人は
クラウドで管理したほうがトータルのリスクは低い >>889
頻繁変更でも楽だし、最大桁数の最大文字種でパスワード構成できるから
気も楽だね、色々悩まなくていい いつになったら物理キーになるの?開発者の怠慢だよね。 わからないのがセキュリティ向上のためと言って、毎回パスワードに加えて生年月日を入力させてくるところ
最初フィッシングかと思ったが正規の三%住*プリペイドのWEBだった
そんなに個人情報拡散させるリスクを増やしたいのかよと
同じことをしていたJALは流石にやめた。きっと誰かが指摘したんだろう
三%住*VISAはそれ以外にもやたらと漏れたら困るような情報を何気なく毎回聞いてくる
CVVコードとかカード有効期限を入力しないと利用可能残高や貯まったポイントさえ見ることができない
セキュリティ意識が歪んでいるとしか思えないな せっかくそのパスワードで入り込めるようになったのだから
が抜けているのではないか 変えろって言うのはまだ理解できる
アルファベットと数字を組み合わせろってのも頷ける
だが定期的に変えろとか言いつつ大文字はダメよとか
何考えてるんだって言いたい
普段使ってるのは大文字小文字英数字の組み合わせだからすげー困るんだよ パスワードを入力することがセキュリティリスクになる
入力内容を盗まれるからだ
なるだけオートフィルを活用し
変更も含めて入力は避けた方がいい NISTってもう活動してないかと思ってたけどまだ生きてたんやな 俺の…
メインバンクの暗証番号は…
5F6r5i1d3ay
だ。 ID管理ソフトがどーしても嫌な人は、その日のIDをパスワードにすればいいんじゃね
で、kakikomi.txtで確認する >>901
クラウドのパスワード管理サービスは内部で入力してくれるから
いちいちキーボードから入力する人や、暗号化されたメモアプリから
クリップボードを経由してコピペする人よりは安全だとも言える。
ブラウザのウィンドウタイトルと、クリップボードの中身やキーのログがセットになって
スパイされちゃうのはかなりヤバイ。 じゃあ総務から変えろと回覧があったら
小賢しくかえないほうが良いという話もありますがと反論するのかお。 パスワード生成関数で統一したらいい。同意するのはいないか。
H : ハッシュ関数、P : キーフレーズを固定して、x : サイト+IDに対して
x = H(P + x)を複数回計算後、それをサイトのパスワードとする。
H、Pの変更でパスワード総替えも簡単にできる。実際、サイトで書き換える手間は別だが。
ハッシュとソルト、ストレッチングを正しく理解する:本当は怖いパスワードの話
http://www.atmarkit.co.jp/ait/articles/1110/06/news154_3.html もうパスワード生成するのには秋田
てか、もういくつか忘れたわw
googleに丸投げ。 googleアカウントにアメリカから突破を試まれたんでブロックしたぞってメールがgoogleから来たけど
あれってパスワード突破された時点で送られてくるのかな?
知らないIPからならパスワード間違えてても送られて来るのかな? パスフレーズも危ないね
古典とか決まり文句から選ぶ傾向があるだろうから 2段階認証してるサービスではパスワードを変える変えないなんてことは大した話じゃない
今時googleで2段階認証してない人なんているのか? 銀行のキャッシュディスペンサーで毎回暗証番号を変えろとインフォしてくるのがウザい 20年以上あらゆる機器とサービスで同じ8文字パスワードにしてる俺が安心している(´・ω・`) レス数が900を超えています。1000を超えると表示できなくなるよ。