【IT】「パスワードは定期的に変更してはいけない」 米政府©2ch.net
レス数が950を超えています。1000を超えると書き込みができなくなります。
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
(全文)
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php パスワード忘れて、その都度
「パスワードを忘れた方はこちらから」
でパスワード再設定したら駄目だろうか 大文字小文字数字混在の乱数生成の暗証なら
64桁ぐらいなら暗記できるよ
記号が入ったらもうちょっと短くなる >>860
数分毎に変わっても出来るん?(´ω`)ノシ >>832
秘密の質問こそいらないわ
意味が違うこと書いといた方が安全て記事も見る
「Q:好きな食べ物は?」「A:東芝」みたいに >>56
それサイトAとサイトBで同じパスワード使ってることがバレるからおすすめしない 新鮮なパスワードだから破られ難いなんてことはないってすぐ分かるよね たまに
Passwordを
Passwardに変更を繰り返してるがここ
10年破られたことないぞ。 「お願いパスワード変えないで監視の手間が増えるから」
ってことでしょ いい加減iPhoneの指紋か静脈認証でやってくれや
パスワードフォルダがいっぱいだ >>869
なんでそうなるw
ドングル壊れると悲惨じゃん
使ったことなさそうな
想像がおぼついてない A君はネットからパスワードジェネレータというランダムな文字列を
生成してくれるソフトをダウンロードしてそれを使って生成した
パスワードを利用していた。ところがある日。 macならパスワード作ってくれるから、それ使えば良いんじゃね? パスワード生成ツールで3回以上生成ボタンを押したものを使えとかの謎ルールもあったな。 いいくにつくろうかまくらばくふ→11922960kama9raba9fu >>814
卑猥な言葉は、ミュージシャンの名前などと並んで最もよく使われるパスワードのひとつ。 油断して作ったパスワードって短くても忘れるよね
iphoneの復元パスワード(4文字)を忘れてしまって
出荷状態に戻すのも面倒で放置してる パスワードに関する問題の殆どはアルファベット数字記号の一部しか使えないという所に起因してる
漢字カタカナひらがな等使える様にすればいいだけなのに
何で極端に文字数が少ない低脳民族に合わせなきゃならんのだ >>822
ほぼ同じ運用してるわ
現状ではコレが一番強固で、しかも利便性もデータ安全性も高いよな 仮に自分が吉田だとして、
会社の事務用端末が3ヶ月ごとにパスワード変更求めてくるから
yoshida1、yoshida2、yoshida3を使い回してるわ >>887
定期的にパスワード変更要求してくるうんこに対応するにはそれが良さそう keepassでもlastpassでもいいけど
クラウドで管理すると楽だな
当然2段階認証と組み合わせなきゃいかんけど
自分自身が忘れたりメモをしない癖を持つリスクが高い人は
クラウドで管理したほうがトータルのリスクは低い >>889
頻繁変更でも楽だし、最大桁数の最大文字種でパスワード構成できるから
気も楽だね、色々悩まなくていい いつになったら物理キーになるの?開発者の怠慢だよね。 わからないのがセキュリティ向上のためと言って、毎回パスワードに加えて生年月日を入力させてくるところ
最初フィッシングかと思ったが正規の三%住*プリペイドのWEBだった
そんなに個人情報拡散させるリスクを増やしたいのかよと
同じことをしていたJALは流石にやめた。きっと誰かが指摘したんだろう
三%住*VISAはそれ以外にもやたらと漏れたら困るような情報を何気なく毎回聞いてくる
CVVコードとかカード有効期限を入力しないと利用可能残高や貯まったポイントさえ見ることができない
セキュリティ意識が歪んでいるとしか思えないな せっかくそのパスワードで入り込めるようになったのだから
が抜けているのではないか 変えろって言うのはまだ理解できる
アルファベットと数字を組み合わせろってのも頷ける
だが定期的に変えろとか言いつつ大文字はダメよとか
何考えてるんだって言いたい
普段使ってるのは大文字小文字英数字の組み合わせだからすげー困るんだよ パスワードを入力することがセキュリティリスクになる
入力内容を盗まれるからだ
なるだけオートフィルを活用し
変更も含めて入力は避けた方がいい NISTってもう活動してないかと思ってたけどまだ生きてたんやな 俺の…
メインバンクの暗証番号は…
5F6r5i1d3ay
だ。 ID管理ソフトがどーしても嫌な人は、その日のIDをパスワードにすればいいんじゃね
で、kakikomi.txtで確認する >>901
クラウドのパスワード管理サービスは内部で入力してくれるから
いちいちキーボードから入力する人や、暗号化されたメモアプリから
クリップボードを経由してコピペする人よりは安全だとも言える。
ブラウザのウィンドウタイトルと、クリップボードの中身やキーのログがセットになって
スパイされちゃうのはかなりヤバイ。 じゃあ総務から変えろと回覧があったら
小賢しくかえないほうが良いという話もありますがと反論するのかお。 パスワード生成関数で統一したらいい。同意するのはいないか。
H : ハッシュ関数、P : キーフレーズを固定して、x : サイト+IDに対して
x = H(P + x)を複数回計算後、それをサイトのパスワードとする。
H、Pの変更でパスワード総替えも簡単にできる。実際、サイトで書き換える手間は別だが。
ハッシュとソルト、ストレッチングを正しく理解する:本当は怖いパスワードの話
http://www.atmarkit.co.jp/ait/articles/1110/06/news154_3.html もうパスワード生成するのには秋田
てか、もういくつか忘れたわw
googleに丸投げ。 googleアカウントにアメリカから突破を試まれたんでブロックしたぞってメールがgoogleから来たけど
あれってパスワード突破された時点で送られてくるのかな?
知らないIPからならパスワード間違えてても送られて来るのかな? パスフレーズも危ないね
古典とか決まり文句から選ぶ傾向があるだろうから 2段階認証してるサービスではパスワードを変える変えないなんてことは大した話じゃない
今時googleで2段階認証してない人なんているのか? 銀行のキャッシュディスペンサーで毎回暗証番号を変えろとインフォしてくるのがウザい 20年以上あらゆる機器とサービスで同じ8文字パスワードにしてる俺が安心している(´・ω・`) 一方Windows10はパスワードより4桁の数字の方が安全だから変えろと言ってくる… iPhoneを、このパスワード要求でやめた私が通りますよ >>239
NextFTPは何かとXORとっただけだったな 英数字じゃなければ駄目っていうとこはセキュリティ低くしてるよね
日本語使えれば少なくても日本語知らないと出来ないから一種のセキュリティになるのに >>930
あれはリモートに保管したパスワードは危険だと言っているのよ
マイクロソフトパスワードって(´・ω・`) 住信SBIネット銀行で振り込みしようとする時、いつもウザい通知をぽちぽちする所から始めないといけない。 コンビニで売ってるプリエイドマネーが
ひらがなだけのでパスワードやってたが
ひらがなだけの意味をなさない文字列は
脳が認識しづらくて入力するのに結構ストレスだった記憶 パスワード変更強制する
↓
覚えられないからメモで貼り付ける
当たり前なんだよなあ。 >>247
メモをしておくのが一番。
紙に書いた内容を、ネット越しに盗む技術は、まだ無い。 Googleアカウントのパスワードが変更されましたという
俺に関係ない通知が来るんだが
他人の名前とメールアドレスを送りつけて大丈夫なのかGoogle と言うか今頃総当りでパス探してるクラッカーとかいるの?
管理サーバーに侵入して全奪取やろ? 24では数時間おきにCTUのセキュリティコードが更新されてたぜ。 銀行の振込みでワンタイムパスワードが増えたな。
住信SBIと新生は前からかわってないけど。 惜しみなく愛は奪う
こんな感じの漢字とひらがなの文字列がパスワードならめちゃくちゃ強いんだろうか >>945
定期的に変更を強制することで
・ユーザーの利便性は大きく下がる
・安全性の向上にはあまりならない。むしろユーザーが予測し易いパスワードを使う傾向があって危険な場合もある
だから特に必要のある場合を除き強制しないほうがいい >>942
容易に侵入されるガバ組織だから多少はね 銀行でもなんでもユーザーに1つパスワード要求すればいいと思ってるけどユーザーの方は何かのサービスごとにパスワード覚えにゃならんからな
何十というパスワードを使いまわさず定期的に不規則に変えろなんて言われたら覚えられんわ まず、ログインIDにメールアドレスを使うのを禁止しろ
公開しているのと同じだ パスフレーズも無理です、英語出来ませんし、そんな長い文覚えていられません 2段階認証でOTP,SMS,FidoU2f,Yubikey、いろいろ組み合わせればいいだけじゃん
IDとPasswordだけでログイン管理する感覚がおかしい 三井住友はモバイルバンックもワンタイムパスワードも泥アプリがあるけどroot不許可で俺涙目
パスワードは物理的なカードデバイスもらえるけど、出先で未登録振り込みするなら常に持ち歩かないといけない
それか非rootスマホを一緒に持ち歩ることにするか、悩むわ >>950
だから評判の良いパスワードマネジャーを使うのがおすすめでそれについては2要素認証なりしておけばいい パスワードマネジャーの利用を妨げたりコピペ禁止しているところはセキュリティレベルを下げて喜んでいるのかも知れない事を指摘すべきだし
使わない選択もあり これが現状では、安全で楽で、コストも掛からないかと
822 名前:名無しさん@1周年 sage ▽1件 投稿日:2017/05/24(水) 14:08:03.89 ID:ouWCo+tZ0 1回目 keepassのマスターキーだけ強烈に難しいパスワードに設定
Googleドライブにkeepassのデータを保存
Googleアカウントのパスワードはスマホでも打ちやすい比較的簡単なものにして二段階認証でセキュリティ確保
これでスマホ初期化時でも楽勝 レス数が950を超えています。1000を超えると書き込みができなくなります。