【IT】「パスワードは定期的に変更してはいけない」 米政府

1: KingFisherは魚じゃないよ ★ 2017/05/23(火) 22:14:28.99 CAP_USER9.net
米政府機関はもう、パスワードを…的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を…的に表示するのを止めるよう勧告するという。 銀行や病院のように人に知られてはいけない個人…を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php 実は近年、…セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。 なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。 「パスフレーズ」の普及を ノースカロライナ大学チャペルヒル校の調査によると、…的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。 どこかの1文字だけを順番に変えていくなどのパターンになりやすい。 【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音 http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php 仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。 【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php …的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。 フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。 NISTからの通達が出回れば、…的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。 (全文) http://www.newsweekjapan.jp/stories/world/2017/05/—–2.php

86: 名無しさん@1周年 2017/05/23(火) 22:29:45.58 pvRo9R3Q0.net
>>1 言いたいことは分かるw 短いフレーズでちまちま変更した所でハッカーは解読、ユーザーだけ負担 でも64桁は、面白いけど無理だwバーコードにしてバーコードリーダで読むならいいけど 手打ちは無理。手打ち・文字列の概念から抜けないとダメなんだろうね

2: 名無しさん@1周年 2017/05/23(火) 22:15:44.49 layFL7kB0.net
こないだDMMアカウント乗っ取られて9万円使われたばっかだが?

47: 名無しさん@1周年 2017/05/23(火) 22:23:31.64 7nXbT9eJ0.net
>>2 自分で使ったくせにwww

95: 名無しさん@1周年 2017/05/23(火) 22:30:27.70 d0lIJNrg0.net
>>2 9万円まで止められないって事は普段から大量買い又は課金してるんだな

7: 名無しさん@1周年 2017/05/23(火) 22:16:54.58 7KAJRMkk0.net
変えろとか、変えるなとか、どっちやねん

10: 名無しさん@1周年 2017/05/23(火) 22:17:43.18 pPUbL/FB0.net
似た様なのにしないと覚えられんからな

11: 名無しさん@1周年 2017/05/23(火) 22:17:46.92 Rn7amzks0.net
会社では3カ月ごとにパスワード末尾の数字をプラス1してるわ

51: 名無しさん@1周年 2017/05/23(火) 22:24:26.71 7nXbT9eJ0.net
>>11 オ〜バ〜フローしたらどうするの〜?

90: 名無しさん@1周年 2017/05/23(火) 22:30:00.24 rY4899iJ0.net
>>11 うちはちょっとだけしか変えなかったら弾かれるわ。そういうシステムも多いと思う。 今は期限なくなったから支障ないけど。

12: 名無しさん@1周年 2017/05/23(火) 22:17:47.13 G2gYmUdJ0.net
小学校の名前とか500個くらい出して、一ヶ月ごとにローテーションするとかどうよ

83: 名無しさん@1周年 2017/05/23(火) 22:29:18.61 dFIZsHPr0.net
>>12 山手線方式なら使ってるな ホイールの数がいくつあるかは秘密だ

13: 名無しさん@1周年 2017/05/23(火) 22:18:29.54 loGkOIws0.net
金融機関の暗証番号もタッチパネルでキーボードを用意しないとな

37: 名無しさん@1周年 2017/05/23(火) 22:21:50.78 u9baP6PiO.net
>>13 振り替え先の住所とか名前を漢字でいれられるように 標準機能として日本語入力機能を持ってるからな。

19: 名無しさん@1周年 2017/05/23(火) 22:20:01.32 rTwRk4Vd0.net
企業だったらランダムなパスワードを1年に1回発行して紙に印刷して渡せばいいと思う

20: 名無しさん@1周年 2017/05/23(火) 22:20:08.06 p/SJPvFA0.net
固定フレーズ+西暦+変更回数で使い回しだったわ

28: 名無しさん@1周年 2017/05/23(火) 22:21:05.06 yNc7oijR0.net
ハッキングするとき面倒だからか

29: 名無しさん@1周年 2017/05/23(火) 22:21:14.23 xYxWQ3iP0.net
健康と美容のために、食後に一杯の紅茶

39: 名無しさん@1周年 2017/05/23(火) 22:22:11.27 tmLC8vVk0.net
>>29 それロックかかっちゃう!パスじゃないよパスじゃないよ

31: 名無しさん@1周年 2017/05/23(火) 22:21:20.58 qUVJuPV+0.net
amazonは128文字にしている あと2段階認証

32: 名無しさん@1周年 2017/05/23(火) 22:21:30.13 oGBpjuHp0.net
サイトによって違うパスワード使いたいんだけどなぁ

35: 名無しさん@1周年 2017/05/23(火) 22:21:42.27 WnVARPUn0.net
サービス毎にユニークなランダム文字列パスワード設定してるが、クロムたんに覚えさせてるから無意味だな。

38: 名無しさん@1周年 2017/05/23(火) 22:22:06.86 QLY0qgDI0.net
おれのパスワードは20文字以上やで

40: 名無しさん@1周年 2017/05/23(火) 22:22:35.48 VolS9/Xy0.net
覚えてられんくなるから、パスポートリストを毎度参照する始末。

41: 名無しさん@1周年 2017/05/23(火) 22:22:36.10 myY2So8V0.net
ワシは元号と生年月日を使っているが損害は二回だけだな

43: 名無しさん@1周年 2017/05/23(火) 22:23:03.82 yG065Ig80.net
そもそもアルファベットと数字だけってのが あと少しの記号かそれじゃすぐパス抜かれちゃうわ 漢字ひらがなカタカナも組み合わせればいいのに

49: 名無しさん@1周年 2017/05/23(火) 22:23:48.16 iR+U5l2p0.net
pasuwaado1 pasuwaado2 pasuwaado3

54: 名無しさん@1周年 2017/05/23(火) 22:25:07.46 7GgNuq5S0.net
2段階認証の登録したまま携帯解約すると辛い

55: 名無しさん@1周年 2017/05/23(火) 22:25:51.97 0wK72Tf30.net
最低64文字って・・

60: 名無しさん@1周年 2017/05/23(火) 22:26:29.67 +bAIK/rK0.net
辞書攻撃されるとパスワードもパスフレーズも一緒だけどな

61: 名無しさん@1周年 2017/05/23(火) 22:26:37.46 OvuACEG10.net
どっちやねーん

63: 名無しさん@1周年 2017/05/23(火) 22:26:40.06 7nXbT9eJ0.net
毎回ログイン時に忘れましたとして 新規パスワードを適当に登録で良いじゃない。 ワンタイムパス的な感じで。

64: 名無しさん@1周年 2017/05/23(火) 22:26:56.91 tp0n+n370.net
昔のUNIX系のパスワードはハッシュ化されて誰でも読める場所に保存されていた 当時の計算速度でハッシュを逆計算すると数ヶ月かかることから 数ヶ月置きにパスワードを変えよ、と言われていた というような夢を見た

71: 名無しさん@1周年 2017/05/23(火) 22:27:59.37 yr48w0nW0.net
そのエラーはエラによるエラー。

73: 名無しさん@1周年 2017/05/23(火) 22:28:08.41 +eKsZROn0.net
パスワードひとつに統一してくれないの?

75: 名無しさん@1周年 2017/05/23(火) 22:28:13.92 zP0gssaF0.net
SBIネット銀行のメッセージ、変更しろの警告が溜まりまくり

81: 名無しさん@1周年 2017/05/23(火) 22:28:53.11 wS4Y+57s0.net
64文字フレーズとかいちいち打ち込むのめんどくさすぎるだろ

84: 名無しさん@1周年 2017/05/23(火) 22:29:28.57 G7D+JrPk0.net
パスワード隠すのも止めてくれ

92: 名無しさん@1周年 2017/05/23(火) 22:30:13.92 HGv0sUk80.net
半年毎に更新させられるから、結局@1@2で連番にしてるわ。 パスワード多過ぎてデスクトップにファイル作って保存してる。 いけないんだろうけど、どこもかしかもパスワードでとても覚えられない

116: 名無しさん@1周年 2017/05/23(火) 22:33:12.76 rY4899iJ0.net
>>92 パスワード管理ソフト使えば。keepassとか。

117: 名無しさん@1周年 2017/05/23(火) 22:33:33.03 QLY0qgDI0.net
>>95 たったの9万じゃ止まるわけねーだろ

96: 名無しさん@1周年 2017/05/23(火) 22:30:44.83 QQT9eGjO0.net
変更したらまた一からパスワードを解析しないといけないからな

97: 名無しさん@1周年 2017/05/23(火) 22:31:16.23 7hERArnB0.net
gallia est omins divisa in patres tres とガリア戦記を冒頭から1フレーズずつパスワードにしてる。 そろそろ、物語も中盤だ。

102: 名無しさん@1周年 2017/05/23(火) 22:32:17.07 u2xoO92d0.net
やたらとパスワード変更しろって通知きてウザいんだが アレなんとかしてくれよ

103: 名無しさん@1周年 2017/05/23(火) 22:32:21.09 O01SoMe80.net
パスワード管理ソフト使ってる

109: 名無しさん@1周年 2017/05/23(火) 22:32:31.86 YHp6RANk0.net
変える必要性がないんだよ。変えたことなど一度もない。 変えろ、変えろなんて言ってると情弱がフィッシングサイトに引っかかるだけだ。

111: 名無しさん@1周年 2017/05/23(火) 22:32:37.71 UQVJyAWy0.net
2ちゃん用語を並べれば良いのか・・・

112: 名無しさん@1周年 2017/05/23(火) 22:32:48.95 TlAHG/gL0.net
一つのパスワード使い回すなら64文字でも覚えられるかもしれないけど 普通はサイトごとに使い分けるし無理だよ

114: 名無しさん@1周年 2017/05/23(火) 22:33:10.02 2YcSLWWe0.net
少なからずの人がパスフレーズに歌詞の一節を使うだろうから JASRACがパソコンに著作権料の上乗せを要求する気が。

118: 名無しさん@1周年 2017/05/23(火) 22:34:09.69 WOhfWEuH0.net
それより、パスワードを打ち込んだとき、●ってなる仕様はどうにかして欲しい。 日本の場合、かな入力・英数字入力あるから、どっちかわからん・・・ あれは不便。

121: 名無しさん@1周年 2017/05/23(火) 22:34:43.36 ALqzJ/c10.net
ハッカーはネットを使って侵入して来る時代だから、家宅侵入の危険は下がったとみて、パソコンの外、周りにパスワードを置くべきでは

122: 名無しさん@1周年 2017/05/23(火) 22:34:44.44 u2xoO92d0.net
最初は四桁だったパスが6桁以上になって次は8桁にとか マジでいい加減にしてほしい

124: 名無しさん@1周年 2017/05/23(火) 22:35:44.99 CBsXL0ow0.net
パスフレーズかー どうしても使わなきゃならないなら、通ってた小学校の校歌にでもするとこだけど こういう選択って突破されやすいんだろうなぁ

131: 名無しさん@1周年 2017/05/23(火) 22:36:21.89 tOm9Cjae0.net
呪文詠唱にしよう

133: 名無しさん@1周年 2017/05/23(火) 22:36:54.23 sQ1Yr1xn0.net
よく考えたらパソコン通信の頃から パスワード変えてないな20年以上w

137: 名無しさん@1周年 2017/05/23(火) 22:38:12.20 OTZZy8k80.net
パスワードジェネレータで生成してtapformsで管理して都度コピペしてるわ

142: 名無しさん@1周年 2017/05/23(火) 22:39:35.60 BgyOfYri0.net
webサイトは毎回適当に設定して再発行するのが楽な気がしてる 要求が複雑になりすぎてどこに何設定したか覚えらんない

147: 名無しさん@1周年 2017/05/23(火) 22:40:32.75 BO/HJpvi0.net
無駄過ぎるからな 既にハッキングされてるならわかるけどさ 違うだろ

161: 名無しさん@1周年 2017/05/23(火) 22:42:28.43 VwKW6j4d0.net
パスワードを変えるともう二度とそのサービスにアクセスできなくなる可能性があるからな。乗っ取られるよりも怖いって。

162: 名無しさん@1周年 2017/05/23(火) 22:42:35.61 F5a0AAvD0.net
たぶんトランプが覚えられないから・・・

166: 名無しさん@1周年 2017/05/23(火) 22:43:24.92 Sn8fbuGU0.net
パスワードマネージャーのパスワードを忘れたらもうね…

169: 名無しさん@1周年 2017/05/23(火) 22:43:32.97 7hERArnB0.net
Webサービスは全部Google IDでログインできるようにすれば良くね? 最近はメールアドレスをIDにするサービスが多いから、パスワードを使い回すと 芋づるで抜かれそうで怖い。

171: 名無しさん@1周年 2017/05/23(火) 22:44:05.05 Xg4d6LOS0.net
「わたしパ〜スワ〜ド〜マネ〜ジャ〜 ♪」が 「わたしパスフレ〜ズ〜マネ〜ジャ〜 ♪」になるのか

177: 名無しさん@1周年 2017/05/23(火) 22:44:47.53 DcI6X/6V0.net
パスフレーズ? じゅもんが ちがいます って出るのかw

190: 名無しさん@1周年 2017/05/23(火) 22:47:44.67 zolyjKNO0.net
>最低64文字 復活の呪文より長くないか?

193: 名無しさん@1周年 2017/05/23(火) 22:48:28.45 NLyIuWjf0.net
アメリカはパスワードを管理する側だしな、変えられたら管理が不便になるから当然の事だな

194: 名無しさん@1周年 2017/05/23(火) 22:48:36.81 9D3HSr2f0.net
長くなると毎回打ち込むのが面倒じゃん…

198: 名無しさん@1周年 2017/05/23(火) 22:49:22.60 DcI6X/6V0.net
ゆうて いみや おうきむ こうほ りいゆ うじとり やまあ きらぺ ぺぺぺぺ ぺぺぺ ぺぺぺ ぺぺぺぺ ぺぺぺ ぺぺぺ ぺぺぺぺ ぺぺ

214: 名無しさん@1周年 2017/05/23(火) 22:51:49.94 5EPSuuv70.net
>>198 もょもと

205: 名無しさん@1周年 2017/05/23(火) 22:50:17.83 3YDYRMhE0.net
パスワードの強度って判定するサイトで全然違うよな(´・ω・`) 何を信用したらいいのか

207: 名無しさん@1周年 2017/05/23(火) 22:50:53.45 SVeBZ6YZ0.net
「お前らに頻繁に変えられちゃ困るんだよ! こっちが! 仕事増やすな!」…だなw

209: 名無しさん@1周年 2017/05/23(火) 22:51:17.15 ehC4kp7K0.net
chu chu tako kaina

216: 名無しさん@1周年 2017/05/23(火) 22:52:23.54 OgStaQMZ0.net
年一回以上変えることを要求されると確実に機械的に変えるようになるからなw 会社のパスワードも下一桁の数字足してるだけだわw

218: 名無しさん@1周年 2017/05/23(火) 22:53:44.31 CYeCNc4c0.net
アメリカだったら、 May the force be with you. 日本だったら、 キリコの飲むウドのコーヒーは苦い。 とか入力したらかなりの奴にアクセスできそうだ。

226: 名無しさん@1周年 2017/05/23(火) 22:56:10.44 qrqQo+Zv0.net
人は記憶型と思考型に大別できる サイト製作者にアイデアを1つ進ぜよう 日本のサイトなら漢字のパスワードも可能にするだけで安全性が高まる

236: 名無しさん@1周年 2017/05/23(火) 22:58:08.39 FtWcxFjv0.net
全く意味を持たない文字数時記号の羅列にしろ、使いまわすな、長くしろ、今でも破るソフトがあるんだぞ? とかよく聞くけど面倒だからな。 もうOSの機能として、右クリックで暗号化みたいなのを搭載したらいいんじゃないの?

237: 名無しさん@1周年 2017/05/23(火) 22:58:12.22 nv03/1JJ0.net
つまり、すべきってこと?(笑)

242: 名無しさん@1周年 2017/05/23(火) 22:59:31.11 bzUmfXrf0.net
黄昏よりも暗き存在、血の流れよりも赤き存在 時間の流れに埋もれし偉大なる汝の名において、 我ここに闇に誓わん、我らが前に立ち塞がりし 全ての愚かなるものに、我と汝が力もて、等しく滅びを与えんことを

243: 名無しさん@1周年 2017/05/23(火) 22:59:33.20 rMDwxUgP0.net
最低64文字

244: 名無しさん@1周年 2017/05/23(火) 22:59:37.39 3iiC+3yq0.net
漢字使えるようにすればいいのに

258: 名無しさん@1周年 2017/05/23(火) 23:03:55.65 DJx49TdS0.net
>>244 日本語って規格が何種類もあってな。 画面上ではおなじ「あ」でも違う文字として解釈されちゃうことがあるんだよ。 だからパスワードには使えなかったのですよ。 今はほとんどutf8になったから、使えるようにしてもよさそうだけどね。

245: 名無しさん@1周年 2017/05/23(火) 22:59:54.79 EB/gatcn0.net
open sesame

250: 名無しさん@1周年 2017/05/23(火) 23:01:17.02 F6FltSeh0.net
wai ha oosakajin ga kiraiya nanise chosenjin no chiga majitteru sakainina これくらいなら破られないだろう

251: 名無しさん@1周年 2017/05/23(火) 23:02:01.06 nHzGx3li0.net
64文字か 覚えてても絶対に打ち間違えるわ

255: 名無しさん@1周年 2017/05/23(火) 23:03:21.60 dolhKPiD0.net
>最低64文字 ええ・・

257: 名無しさん@1周年 2017/05/23(火) 23:03:47.01 AhrngRyv0.net
パスワードとかどうでも良いから、もう何かあったら 携帯に認証コードが届くようにして二段階にすりゃ良いじゃん。

259: 名無しさん@1周年 2017/05/23(火) 23:04:15.73 vRGJ4bch0.net
最低64文字…覚えてても入力すんのイヤだよ

引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1495545268/