【IT】アカウントが乗っ取られるなどの事実がなければ定期的なパスワードの変更は不要・・・総務省方針変更 Yahoo!も注意喚起削除へ
■ このスレッドは過去ログ倉庫に格納されています
FNNニュース 2018年5月4日 金曜 午前0:54
180度方針を転換。
メールやネットバンキングなど、インターネット上で、日常的に使用するパスワード。
これまで国などは、定期的な変更を呼びかけてきたが、その常識が変わってきている。
総務省は、パスワードが破られ、アカウントが乗っ取られるなどの事実がなければ、定期的な変更は不要として、方針を変更した。
IT大手のヤフーも、これまでウェブサイト上で、パスワードの定期的な変更を呼びかけていたが、近く、その注意喚起を削除するという。
他人と類似してしまう可能性があるため、総務省が使用しないように注意を促している危険なパスワード。
自分の名前や生年月日、「password」や「baseball」といった一般的な英単語、同じ文字の繰り返しなどが挙げられている。
定期的な変更は不要という、パスワードの新常識に専門家は。
ITジャーナリスト・三上 洋氏は、「定期変更というのは、それを強いることで、単純化したり、パターン化したりする悪影響が出ます。ですので、パスワードの定期変更はしない方がいい」と語った。
肯定の声がある中、一方で、懐疑的な見方をする専門家も。
慶応義塾大学・武田圭史教授は、
「弱いパスワードをつける人は、定期的に変更しないからといって、強いものをつけるかというと、そこもちょっと疑問があるので、できれば強いパスワードで、必要に応じて時々変えてあげる、
そういった考え方が、より適切かと思います」と語った。
総務省は、定期変更よりも、複数のサービスで同じパスワードを使い回さない、そして、使用するパスワードが十分に長くて、複雑なものであることなどが重要だとしている。
https://www.fnn.jp/posts/00391202CX 俺20年前から一回もパスワード変えたことが無い
会社のPCは変えないと使えなくなる仕組みだから
末尾を201706とかに変えてたけどね >>1
んなことより、パスワードの平文保存を禁止する法律を作れよ 在日・帰化韓国・朝鮮塵で層化ガキ会印兼日本凶惨盗印でヤフーライブドアニコニコパンチョッパリニュース記者
で電通・ソフトバンク・ソニー・ドワンゴ・バンダイナムコE舎弟ナマポ受給チンパンブタDQNキョッポマンティータイム
が電通・ソフトバンク・ソニー・ドワンゴ・バンダイナムコEからカネを貰ってヤフーニコニコプロレスアマラグビーエン
ターテインメントワイドショーのソースでスレ立てしたこのスレは森喜郎日本ラグビー協会会長・馳浩日本レスリン
グ協会副会長・斉藤惇日本野球機構コミッショナーに認定されますた。
プーン 川|川\ /|〜
‖|‖ ◎---◎|〜
川川‖ 3 ヽ〜 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
川川 ∴)〆(∴)〜 <プロレス、野球、アメリカンフットボール、アイスホッケー、
川川 〜 /〜 |バスケットボールは日本の国技にしようぜッ!
川川‖ 〜 /‖〜 \______________
川川川川 (⌒)川‖〜 ヴィシッ!
http://www.dentsu.co.jp/
http://www.softbank.jp/
https://bandainamcoent.co.jp/
http://info.dwango.co.jp/
http://www.rizinff.com うちの会社は3ヶ月おきに変えるように、これからなる
ズレまくり ITセキュリティ界隈では、以前から定期的なパスワード変更は意味がない、って言われてたよな パスワード変えろ
a
パスワードは8文字以上で
aaaaaaaa
パスワードにが大文字を含めて下さい
AAAAaaaa
パスワードに数字を含めて下さい
AAaa1111
パスワードに記号を含めて下さい
AAaa11!!
パスワードに同じ文字が連続してはいけません
Aa1!sfgh
めんどくさいと結局こうなる しょっちゅうパスワードの変更をさせるのではなく、
企業側にセキュリティを強化する等の努力が必要では? うちの会社のも、月一変更だし、windows とファイルサーバーので2つパスワード要るし、操作なし10分ぐらいでロックかかるし、単純なパスワードを推薦してるようにしか思えん。 乱数発生器のやつ使ってるけど大丈夫なのか
バリエーション4つくらいしかないけど 会社のパスワードとか180日ごとに変更だが外部のネットワーク破られない限りそんなの無駄だわ 変えたパスワードが覚えきれないから、
ぜんぶ付箋に書いてディスプレイに貼り付けてる。 >>16
そういう馬鹿文系の発想がいかに日本がIT後進国かが分かるな。
昨日の新聞の自衛隊のサイバー攻撃への反撃能力〜の記事も馬鹿丸出しだった。 >>3
自分で変えてると宣言してるじゃん。
何言ってんの? 20年前から同じパスワード
理由
アマチュア無線のコールサインは
世界に1個しかないから LINEなんてインスコしたまま放置だったのに、ログインされました通知が来たので
速攻、退会手続き取った。
二重ロック掛けろよ 意味の無い長い文字列を定期的に変えて覚えておける訳ないという当たり前の現実にようやく気付いたか
多くの人は意味を持たして末尾を変えたり付箋貼ったりなど逆効果しかない ヤフーとか年に1回ぐらい台湾から不正アクセス食らってパスワード変えてるわ >>25
横だけど、
「〜けどね」って言う日本語のニュアンスはネイティヴじゃないと分かりにくいかな? 前働いていた会社も1ヶ月更新だった上、間違えるとパソコンロックされて仕事ができなくなり、ロック解除のために始末書を書かされていた。
決して間違えないようにするため、パスワードの最後の数字だけ書き換えて流用していた(例えば"sage-2018_05")。まさに本末転倒だったよ。 ログイン記録を本人にメールするシステムが無いのが1番の脆弱性なんだよね >>30
二ヶ月ごとにキーボードの列を変えて
パスワードにしてる人がいたなw
定期的な変更が頻繁なほど
変更の仕方やパスワードの保存はいい加減になるよね >>16
>企業側にセキュリティを強化する等の努力が必要では?
同僚が自分に成りすませて勝手に使うのを防ぐ、ということかな。
もしくは「そういうことはできません」とシステム管理者が外部に自慢したいから? >>35
始末書ってひでえw
情シやってるけど、毎日アカウントロック数人くるんだけど。
数千人いるからってのもあるけど、そんなんで始末書書かせたら非効率すぎるw 手動で単調なフレーズを使うから定期的な変更が望まれる
なら初めからランダム生成したのを使えばいい メモ付箋などでソーシャルハッキングに対しては逆に脆弱になる
ウィルスに対してはパスワード変更は効果ない
OS、ブラウザ、特定機器の欠陥に対しては無意味
企業元からの流出に対してはその度に変えるしかない
外部からのアクセスならランダム文字列でありさえすれば強度は同じ
たしかに定期的なパスワード変更って無意味だよな >>42
スマホ家に置いてきたりするとヤバい。
海外出張でそれをやっちまったらかなりめんどくさいことになりそう。 俺はアニメキャラをパスワードにしてるけど
絶対に破られない自信がある。
マニアックなキャラ名を更にモジッてる。
例えば、孫悟空だとすれば
s0N_5ku
更に四桁の適当な数字をプラス
s0N_5ku_1234
更にそのサイト(サービス)の文字を追加
例えばYahooなら yAをつけて
s0N_5ku_1234yA
このやり方で作ったパスワードを10年くらい使ってる。
勿論、二段階認証が使える所は使ってる。 USBメモリみたいので銀行のトークンみたいの
ないのかな
刺してログインすればおkみたいな >>29
その前にお前さんのよわよわなパスワードをなんとかしなよ。 それよりも
必要な英数字の数、種類を統一せい
メモをPCに貼り付ける事態になってるんですが pcに付箋どころか、デスクトップにパスワード.txtが有る始末
俺の事だけどな 一回googleアカウント乗っ取られかけたんだよな
二段階認証のおかげで無事だったが
二段階認証もっと普及させたほうがいい 探してもキングジムのミルパスしかない
めんどくさそうで買う気しない >>39
例えば生体認証を取り入れて
予め全部の指を登録させ
定期的に認証の指を変えるとかなら
企業側の努力だろう
社員はパスワードを記憶する必要なく
指示されたとおりに指を使うだけでいい 8ケタの英数で2.8兆通り以上だからな。
認証に0.1秒ぐらい掛かるから複数ログイン不可なら完全解析に8800年以上掛かる。
大体3〜5回の入力で不正アクセスと判断されるから突破はまず無理だ。 >>55
信じるも何も
この前アメリカの大規模調査で判明しただろ
定期変更は使い回しや付箋紙の使用が増え
脆弱化につながる
君が全てのサイトのパスワードを別々に覚え
定期的に全て変更できているなら
続ければいい
でも殆どの人はそれができないんだよ
というか、 普通の人はパスワードのために生きている訳じゃないので
そんな事に労力と記憶を傾けない 芸巣pなんか開いただけで変な広告ページに勝手に飛ばされるし
広告内部の詐欺サイトへの誘導の方が問題だわ >>59
お前もパスワードの管理ができないバカの仲間か セキュリティスカスカの競馬ブックwebでハックされた事がある
パスワードを変えて翌月に退会 面倒くさい事になったりするんだから後々の保険的に「変更必要」と言っとけよ アップルだと、初回アクセスはスマホにSMSくるな
二回目以降はパスワードのみ パスワードめんどくせえから生体認証でいいだろ
PCもスマホもタブレットもセンサーついてるのに >>57
イチャモンみたいな反論だが完全ランダムな八桁のパスワードを忘れたら
二度とログインできなくなるんだなw
しかも二ヶ月毎に変更?無理だ
普通の人はパスワードを使い回すか、自分のパーソナルデータと紐づけてパスワードを生成する
だから個人情報の一部(生年月日など)がわかれば
理論値より遥かに簡単にパスワードに辿り着ける >>62
会社やネットサービス、銀行、証券、クレカとか
更にクラウド利用とかパスワードは求められるサービスがたくさんあるし
その条件も6〜8文字以上やら10文字以下だとか、複雑さの要件を求めたり、
でも他のところだと記号は不可とか様々
10個どころじゃないでしょ。全部正確に覚えてるの結構大変かと。 大文字小文字に英数字に記号も含めてとか
設定した瞬間忘れてしまうわw 乗っ取られる瞬間までそのパスワードは安全なの当たり前なんでは >>62
逆だな
人間が管理困難なパスワードの管理を人間に押し付け
流出の責任も人間に押し付けていた矛盾が明らかになった
今までみたいに「管理しきれないお前が悪い」では済まなくなったんだよ
リスクマネジメントの世界では
現実に行えない防止策は防止策とは認められない
また「気をつける」「努力する」といった精神論も認められない
今までのパスワード管理は正に「不可能な対策の押しつけ」だった >>75
複雑化&頻繁な変更=覚えるのが面倒になり使い勝手重視=元に戻るor返って簡略化に走る
テキスト入力型の限界がきてる? https://password.kaspersky.com/
まあこういうところでパスワード強度チェックすると記号や大文字入れて8桁でも数分だからね。
無限試行できるようなのがまずダメで、
かといって5回とか少なすぎるのもすぐアウトになるから駄目って考察するわ。
それを10回にかえても無限に試行できるのはほど遠い。 記憶に頼るとかいうあやふやなセキュリティはさっさとやめろ 少なくとも
現存し、意味を持った英語の綴りや数字の羅列は使わない
現存し、意味を持った英語の綴りや数字の羅列の逆読みも使わない
この二つくらいは誰でも出来るだろうし最低限やるべきこと 生体系も体調によって結構変わるぞ。
静脈認証もアル中なのか酒飲んで帰ってくるやつがいてそういうので引っかかるw
指紋は汗っかきが・・とかいろいろ罠が。 もうパスワードよりも、二段階認証の質問とか答え考える方が大変になってきた 意見出そうにも逃げまくる糞Yahooが注意喚起ねぇw笑わすなw パスワード忘れた云々用の質問とか最高に意味わからん
そっちの方がバレやすそうだし
これ以上無駄なパスワード増やすな >>80
パスワード管理側の常識が古臭いのかもね
多くのサイトでパスワードを要求される現実を想定していないのも古臭いあと、パスワードに6-8桁の文字を要求するのは強度の問題以外に
人間がいっぺんに記憶できるのは7桁前後という
「マジカルナンバー」理論が元になっている
ところがこれは1950年台の理論で新しい研究では
マジカルナンバーは4桁前後に過ぎないことがわかっている
つまり現在は否定された古臭い理論を振りかざして
人間が覚えきれないパスワードを覚えろと要求してるのが現状 よくパスワード設定時に他のサイトとパスワードを使いまわしてないか?って注意喚起あるけど非現実的過ぎてツッコミいれたくなる パスワードいるサイトなんて数十個もあるのに使いまわし無しなんて不可能だろ。 しょっちゅうパスワードを変更させられると覚えていられなくて結局どっかにメモしたりするハメになるからな
ネットバンキング系のパスワード変更して下さいとか問題が起きた時にパスワード変更しなかった貴方が悪いんですって免罪符にしようとしてるとしか思えない 自分のは長文暗号が多くて覚えきれないからパスソフト管理で良いんだけど・・
社用は、定期的に変更しろメッセがでるから。。。
面倒くっせええよ そのうち、パスワード制度も意味なくなりそう。
総当たりで抽出できる機械が発明されたら一瞬だもんな。
パスワードの次は生体認証だな 自宅はいまだにWEPで割と単純なPWを使いWi-Fiしてるけど
不正アクセスの跡は一度も見たことない。 スマホでは指紋認証や顔認証が実用化しているのに、いつまでこんなことを続けるのか?
漏洩がバレてから変えろってかw
いや、漏洩しても乗っ取られるまで放置されるのか こないだ観たレディプレイヤーワンでも
付箋パスワード盛大に皮肉っててワロタ ■ このスレッドは過去ログ倉庫に格納されています