【IT】「パスワードは定期的に変更してはいけない」 米政府©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
【参考記事】パスワード不要の世界は、もう実現されている?!
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスフレーズ」の普及を
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
(全文)
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php パスフレーズも無理です、英語出来ませんし、そんな長い文覚えていられません 2段階認証でOTP,SMS,FidoU2f,Yubikey、いろいろ組み合わせればいいだけじゃん
IDとPasswordだけでログイン管理する感覚がおかしい 三井住友はモバイルバンックもワンタイムパスワードも泥アプリがあるけどroot不許可で俺涙目
パスワードは物理的なカードデバイスもらえるけど、出先で未登録振り込みするなら常に持ち歩かないといけない
それか非rootスマホを一緒に持ち歩ることにするか、悩むわ >>950
だから評判の良いパスワードマネジャーを使うのがおすすめでそれについては2要素認証なりしておけばいい パスワードマネジャーの利用を妨げたりコピペ禁止しているところはセキュリティレベルを下げて喜んでいるのかも知れない事を指摘すべきだし
使わない選択もあり これが現状では、安全で楽で、コストも掛からないかと
822 名前:名無しさん@1周年 sage ▽1件 投稿日:2017/05/24(水) 14:08:03.89 ID:ouWCo+tZ0 1回目 keepassのマスターキーだけ強烈に難しいパスワードに設定
Googleドライブにkeepassのデータを保存
Googleアカウントのパスワードはスマホでも打ちやすい比較的簡単なものにして二段階認証でセキュリティ確保
これでスマホ初期化時でも楽勝 >>954
root取ったデバイスにワンタイムトークンアプリ入れるとか情弱にもほどがある >>955
そういう手もあるにはあるがソースコード全開示されても素人にゃパスワードマネジャーの安全性なんて分からんしな
評判なんてモンがアテにならんからLINEみたいなものも流行ってるわけで パスワードなんか要らない仕組みを考えればいいだけなのに、ばかなんじゃね? そもそもアルファベットと数字だけってのが
あと少しの記号かそれじゃすぐパス抜かれちゃうわ
漢字ひらがなカタカナも組み合わせればいいのに・・・ パスワードは爺さんの戒名をローマ字で打ち込むのがベスト >>961
それならどうするのがベストかという話なんだろうな
変更を強要される状況ではパスワードマネージャを使えば利便性は落ちない
いくらでも複雑なパスワードを使うことができ、覚えるパスワードを一つまたは2つ程度に限定する
ことができる
では問題点は何か?
漏洩とか流出のリスクが大きいと思うならlastpassのようなクラウド型のサービスを使うのは無いだろう
だからスタンドアロンのパスワードマネージャーを対象に考える
1.そのプログラムは意図的に外部へ情報を流すか?漏洩させるようなものではあってはならない
2.そのプログラムはローカルの環境に安全ではない形でパスワード情報を保存、あるいは痕跡として残していないか
もし残していれば操作ミスやウィルスによる危険性が増す
2の問題はローカルexploitの問題の可能性があるという話になる。これはある程度は個人レベルで対処可能だ
他に危ないプログラムは入れない。ウィルスチェックは行う。アンチウィルスのデータベースは常に最新にする。
OSのパッチも最新に常に更新する。全部普通の対応だね
1の対応は2つ。一つは外向きのネットワークトラフィックもファイアウォールで叩き落す。内容不明の通信は外に
出さない。メール(メールサブミッション)、HTTP、HTTPS、もし使うならSSH。後は通さない。クラウドストレージ系
のサービスはうまく対応できるかどうかは知らない。
もう一つはあまり使われていない、使う人の少ないパスワードマネージャは使わない。使う人が多ければ当然
先に書いたような外向きのフィルタリングをやって使う人はいるし、この程度のことをやっていればバレるんだよ。
マイナーなプログラムでは見過ごされる可能性は高い。そういう意味で評判の良い=使っている人の多いプログラム
のほうがいくらかでもマシ 英語のフレーズなんて日頃使わねぇから覚えられねぇよ。お気に入りの日本語作品内の文章や出来事を引用するとかの方が覚えやすいんじゃなかろか?年表付きで。徒然草や平家・源氏物語、俳句や百人一首や念仏とかも面白いかもw これなら勉強にもなるんじゃね? ネットゲームだとすぐログインしたくて短いパスワードにしたりコピペしちゃう 私のパスワードはすべて81から始まる電話番号。
突破できるものなら突破して見ろwww usbを指すと勝手にログインする仕組みになってるからよくわからん。経年劣化で反応しなくなるとシステム担当が交換してくれる。 してはいけない
と言うとやりたくなる(^_^;)変えよ パスワードを変えろって、
要するに漏洩しまっくてるのを公表せずに隠してるからだよな。
バレてないものを変える意味がない。 >>975
漏洩物とダントツトップは本人だけどなw パスワードの設定を求められたから
my_penis にしたら「短すぎます」と叱られたわ ツイッタBOTのアカウント2回ほど乗っ取られて頭に来たんで
糞長いパスにしたら安定した >>65
ノートンじゃなくてもフリーのパスワードジェネレーターぐらいはある。
>>78
ああ、そういう事だよ。
でもKeePassはソースコード公開してるせいか狙われるんだとか。
>>81
Windowsに長ったらしいパスワード設定して、その上PINコードも20文字ぐらいで設定してるw
>>294
いやもう、今はそれぐらいじゃないと。 Google、Amazon、Twitterは特に乗っ取り被害常連なので・・・
めっちゃガチガチにしないと >>982
こんな感じか?
ngkttkkywmmwwomwsrkkcghnrwgnmdkn
kryknikmkhrmwkrthsrmsrnmahsknsk パスフレーズも違える元だと思うな。間違えやすい数字や文字とか
なんでパスワードはパスワード生成ソフト使って生成サせるようにしたほうがいいわ
間違えやすい数字や文字とかを使わないでパスワード生成することもできるし
あとは面倒だけど二段階認証が使えるならこれと組み合わせる いい加減、パスワードとかのank文字は止めろよ
指紋とか使えるだろ? このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
life time: 4日 23時間 44分 32秒 2ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.2ch.net/
▼ 浪人ログインはこちら ▼
https://login.2ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。