【IT】「パスワードは定期的に変更してはいけない」 米政府©2ch.net

[0001 KingFisherは魚じゃないよ ★ 転載ダメ©2ch.net 2017/05/23(火) 22:14:28.99 ID:CAP_USER9]

＜アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ＞

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所（NIST）が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。

銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。


【参考記事】パスワード不要の世界は、もう実現されている？！
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php


実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。

なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。

どこかの1文字だけを順番に変えていくなどのパターンになりやすい。


【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php


仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。


【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php


定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。

フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。

（全文）
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php

[0952 名無しさん＠１周年 2017/05/27(土) 13:24:26.16 ID:Bmx3mMuS0]

パスフレーズも無理です、英語出来ませんし、そんな長い文覚えていられません

[0953 名無しさん＠１周年 2017/05/27(土) 13:30:32.97 ID:sF2ZmUpH0]

2段階認証でOTP,SMS,FidoU2f,Yubikey、いろいろ組み合わせればいいだけじゃん
IDとPasswordだけでログイン管理する感覚がおかしい

[0954 名無しさん＠１周年 2017/05/27(土) 13:55:09.31 ID:R850s6Im0]

三井住友はモバイルバンックもワンタイムパスワードも泥アプリがあるけどroot不許可で俺涙目
パスワードは物理的なカードデバイスもらえるけど、出先で未登録振り込みするなら常に持ち歩かないといけない
それか非rootスマホを一緒に持ち歩ることにするか、悩むわ

[0955 名無しさん＠１周年 2017/05/27(土) 14:08:31.89 ID:XHfMdE5W0]

>>950
だから評判の良いパスワードマネジャーを使うのがおすすめでそれについては2要素認証なりしておけばいい

[0956 名無しさん＠１周年 2017/05/27(土) 14:11:33.38 ID:XHfMdE5W0]

パスワードマネジャーの利用を妨げたりコピペ禁止しているところはセキュリティレベルを下げて喜んでいるのかも知れない事を指摘すべきだし
使わない選択もあり

[0957 名無しさん＠１周年 2017/05/27(土) 16:37:00.48 ID:hZXZJN8n0]

これが現状では、安全で楽で、コストも掛からないかと

822 名前：名無しさん＠１周年 sage ▽1件 投稿日：2017/05/24(水) 14:08:03.89 ID:ouWCo+tZ0 1回目 keepassのマスターキーだけ強烈に難しいパスワードに設定
Googleドライブにkeepassのデータを保存
Googleアカウントのパスワードはスマホでも打ちやすい比較的簡単なものにして二段階認証でセキュリティ確保

これでスマホ初期化時でも楽勝

[0958 名無しさん＠１周年 2017/05/27(土) 17:02:47.47 ID:QJkgpkMc0]

漢字使えるようにしたら強いはず

[0959 名無しさん＠１周年 2017/05/27(土) 17:10:08.41 ID:WWwJXvSN0]

>>954
root取ったデバイスにワンタイムトークンアプリ入れるとか情弱にもほどがある

[0960 名無しさん＠１周年 2017/05/27(土) 17:23:02.12 ID:tmtnUSg50]

>>4
ちょとガイエスブルグに行ってくる

[0961 名無しさん＠１周年 2017/05/27(土) 17:52:00.46 ID:IAZ1Fgl50]

>>955
そういう手もあるにはあるがソースコード全開示されても素人にゃパスワードマネジャーの安全性なんて分からんしな
評判なんてモンがアテにならんからLINEみたいなものも流行ってるわけで

[0962 名無しさん＠１周年 2017/05/27(土) 19:31:34.82 ID:SffNUnKM0]

パスワードなんか要らない仕組みを考えればいいだけなのに、ばかなんじゃね？

[0963 名無しさん＠１周年 2017/05/27(土) 20:20:21.29 ID:YVR8dK8B0]

不定期に変更しないとな。

[0964 名無しさん＠１周年 2017/05/27(土) 21:32:15.01 ID:OLzUg9C40]

そもそもアルファベットと数字だけってのが
あと少しの記号かそれじゃすぐパス抜かれちゃうわ
漢字ひらがなカタカナも組み合わせればいいのに・・・

[0965 名無しさん＠１周年 2017/05/27(土) 22:28:16.97 ID:aI7bLT6/0]

パスワードは爺さんの戒名をローマ字で打ち込むのがベスト

[0966 名無しさん＠１周年 2017/05/27(土) 22:40:30.89 ID:9m59jttP0]

>>961
それならどうするのがベストかという話なんだろうな
変更を強要される状況ではパスワードマネージャを使えば利便性は落ちない
いくらでも複雑なパスワードを使うことができ、覚えるパスワードを一つまたは2つ程度に限定する
ことができる

では問題点は何か？
漏洩とか流出のリスクが大きいと思うならlastpassのようなクラウド型のサービスを使うのは無いだろう
だからスタンドアロンのパスワードマネージャーを対象に考える
1．そのプログラムは意図的に外部へ情報を流すか？漏洩させるようなものではあってはならない
2．そのプログラムはローカルの環境に安全ではない形でパスワード情報を保存、あるいは痕跡として残していないか
もし残していれば操作ミスやウィルスによる危険性が増す

2の問題はローカルexploitの問題の可能性があるという話になる。これはある程度は個人レベルで対処可能だ
他に危ないプログラムは入れない。ウィルスチェックは行う。アンチウィルスのデータベースは常に最新にする。
OSのパッチも最新に常に更新する。全部普通の対応だね

1の対応は2つ。一つは外向きのネットワークトラフィックもファイアウォールで叩き落す。内容不明の通信は外に
出さない。メール(メールサブミッション）、HTTP、HTTPS、もし使うならSSH。後は通さない。クラウドストレージ系
のサービスはうまく対応できるかどうかは知らない。
もう一つはあまり使われていない、使う人の少ないパスワードマネージャは使わない。使う人が多ければ当然
先に書いたような外向きのフィルタリングをやって使う人はいるし、この程度のことをやっていればバレるんだよ。
マイナーなプログラムでは見過ごされる可能性は高い。そういう意味で評判の良い＝使っている人の多いプログラム
のほうがいくらかでもマシ

[0967 名無しさん＠１周年 2017/05/27(土) 23:03:24.88 ID:yzt3qRQ9O]

英語のフレーズなんて日頃使わねぇから覚えられねぇよ。お気に入りの日本語作品内の文章や出来事を引用するとかの方が覚えやすいんじゃなかろか？年表付きで。徒然草や平家・源氏物語、俳句や百人一首や念仏とかも面白いかもw これなら勉強にもなるんじゃね？

[0968 名無しさん＠１周年 2017/05/28(日) 02:06:30.45 ID:IKrpNX4k0]

ネットゲームだとすぐログインしたくて短いパスワードにしたりコピペしちゃう

[0969 名無しさん＠１周年 2017/05/28(日) 10:33:20.83 ID:anXlXhYp0]

似た様なのにしないと覚えられんからな。

[0970 ドクターEX 2017/05/28(日) 10:50:30.16 ID:6zMcOz9U0]

私のパスワードはすべて８１から始まる電話番号。
突破できるものなら突破して見ろｗｗｗ

[0971 名無しさん＠１周年 2017/05/28(日) 10:53:40.50 ID:51St6jP10]

指紋とか声でのログインが出来たらいいな

[0972 名無しさん＠１周年 2017/05/28(日) 10:54:08.05 ID:xq5A/Hcw0]

usbを指すと勝手にログインする仕組みになってるからよくわからん。経年劣化で反応しなくなるとシステム担当が交換してくれる。

[0973 名無しさん＠１周年 2017/05/28(日) 12:45:44.78 ID:4b9QhXXZ0]

１年に１回でいい？

[0974 名無しさん＠１周年 2017/05/28(日) 12:53:27.39 ID:YW03GcWQ0]

してはいけない
と言うとやりたくなる(^_^;)変えよ

[0975 名無しさん＠１周年 2017/05/28(日) 12:53:42.01 ID:2qZBnxnY0]

パスワードを変えろって、
要するに漏洩しまっくてるのを公表せずに隠してるからだよな。

バレてないものを変える意味がない。

[0976 名無しさん＠１周年 2017/05/28(日) 13:01:28.11 ID:KuabZk5i0]

なにを今更
いっぺんも変えたことないわ

[0977 名無しさん＠１周年 2017/05/28(日) 14:24:13.03 ID:up1Oa/840]

>>975
漏洩物とダントツトップは本人だけどなｗ

[0978 名無しさん＠１周年 2017/05/28(日) 14:27:38.90 ID:8QWCNewT0]

パスワードの設定を求められたから
my_penis にしたら「短すぎます」と叱られたわ

[0979 名無しさん＠１周年 2017/05/28(日) 14:33:08.22 ID:X9XgQzBr0]

ツイッタBOTのアカウント2回ほど乗っ取られて頭に来たんで
糞長いパスにしたら安定した

[0980 名無しさん＠１周年 2017/05/28(日) 16:48:59.98 ID:LK3wpIka0]

>>65
ノートンじゃなくてもフリーのパスワードジェネレーターぐらいはある。

>>78
ああ、そういう事だよ。
でもKeePassはソースコード公開してるせいか狙われるんだとか。

>>81
Windowsに長ったらしいパスワード設定して、その上PINコードも20文字ぐらいで設定してるｗ


>>294
いやもう、今はそれぐらいじゃないと。

[0981 名無しさん＠１周年 2017/05/28(日) 17:29:39.48 ID:D2EXLgVi0]

Google、Amazon、Twitterは特に乗っ取り被害常連なので・・・
めっちゃガチガチにしないと

[0982 名無しさん＠１周年 2017/05/28(日) 18:02:46.07 ID:IRHmutBD0]

和歌2つにスペースでいいのか？

[0983 名無しさん＠１周年 2017/05/28(日) 19:17:11.16 ID:FVvXnj0e0]

>>862
香具師？

[0984 名無しさん＠１周年 2017/05/28(日) 19:38:05.02 ID:YVm0NPit0]

>>982
こんな感じか？
ngkttkkywmmwwomwsrkkcghnrwgnmdkn
kryknikmkhrmwkrthsrmsrnmahsknsk

[0985 名無しさん＠１周年 2017/05/28(日) 19:44:47.19 ID:2dkYjdyE0]

>>983
ポートピア連続殺人事件

[0986 名無しさん＠１周年 2017/05/28(日) 20:05:41.88 ID:Xpoeck8u0]

パスフレーズも違える元だと思うな。間違えやすい数字や文字とか
なんでパスワードはパスワード生成ソフト使って生成サせるようにしたほうがいいわ
間違えやすい数字や文字とかを使わないでパスワード生成することもできるし
あとは面倒だけど二段階認証が使えるならこれと組み合わせる

[0987 名無しさん＠１周年 2017/05/28(日) 20:15:27.55 ID:2dkYjdyE0]

>>986
ふっかつのじゅもん世代かな？

[0988 名無しさん＠１周年 2017/05/28(日) 21:04:16.60 ID:JW3t3xV30]

そのくせ毎回スパイ天国だったっけ？

[0989 名無しさん＠１周年 2017/05/28(日) 21:11:27.08 ID:JW3t3xV30]

ハッキングするとき面倒だからか?

[0990 名無しさん＠１周年 2017/05/28(日) 21:23:03.42 ID:JW3t3xV30]

パスワードに漢字を混ぜるといいらしいぞ。

[0991 名無しさん＠１周年 2017/05/28(日) 21:34:31.64 ID:JW3t3xV30]

呪文詠唱にしよう。

[0992 名無しさん＠１周年 2017/05/28(日) 21:35:23.70 ID:rqsbqJtn0]

>>735
何だその押すな押すな理論ｗｗｗ

[0993 名無しさん＠１周年 2017/05/28(日) 21:38:15.58 ID:AD5glWKr0]

定期的には変更してないけど不定期で変更してるよ

[0994 名無しさん＠１周年 2017/05/28(日) 21:47:28.25 ID:JW3t3xV30]

そのくせ毎回スパイ天国だ？

[0995 名無しさん＠１周年 2017/05/28(日) 21:50:18.99 ID:dRsfgGeb0]

>>50
茶吹くわアホ

[0996 名無しさん＠１周年 2017/05/28(日) 21:51:53.69 ID:8ZKDaJY+0]

まー単なるお作法化しているよね

[0997 名無しさん＠１周年 2017/05/28(日) 21:52:10.33 ID:JW3t3xV30]

いい加減、パスワードとかのank文字は止めろよ
指紋とか使えるだろ？

[0998 名無しさん＠１周年 2017/05/28(日) 21:54:36.48 ID:eYL/lJGw0]

＞＞３
まじでか

[0999 名無しさん＠１周年 2017/05/28(日) 21:57:09.07 ID:eYL/lJGw0]

GH13

[1000 名無しさん＠１周年 2017/05/28(日) 21:59:00.57 ID:JW3t3xV30]

辞書攻撃が捗りそうだな。