アメリカ政府機関 「パスワードは定期的に変更してはいけない」
  • RSS

アメリカ政府機関 「パスワードは定期的に変更してはいけない」

セキュリティー, 時事 コメント:13

どうすりゃいいの?

1: 名無しさん@涙目です。(東京都)@\(^o^)/ [HU] 2017/05/24(水) 00:34:00.18 ID:CjcAFZM00.net BE:306759112-BRZ(11000)
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。
エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。
アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスワードは定期的に変更してはいけない」–米政府
http://www.newsweekjapan.jp/stories/world/2017/05/—–2.php
2: 名無しさん@涙目です。(東京都)@\(^o^)/ [HU] 2017/05/24(水) 00:34:25.86 ID:CjcAFZM00.net
「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
 
3: 名無しさん@涙目です。(中国地方)@\(^o^)/ [TW] 2017/05/24(水) 00:36:06.89 ID:wg9zIs6I0.net
ある程度簡単に推察されづらいようなパスワード設定してるにもかかわらず
それを何度も変更するのはさすがに無駄だわ
5: 名無しさん@涙目です。(秋)@\(^o^)/ [JP] 2017/05/24(水) 00:36:45.11 ID:NBWo5iHl0.net
パスワードジェネレーターで作ってるけど、使える文字や字数がサイトによって違うのは
なんとかしてほしい。パスワードに記号が使えないサイトとかあるもんな。
8: 名無しさん@涙目です。(やわらか銀行)@\(^o^)/ [HK] 2017/05/24(水) 00:43:38.80 ID:sNjKVTtN0.net
3、4種類使いわけてるが
変えてはいないな
9: 名無しさん@涙目です。(新潟県)@\(^o^)/ [US] 2017/05/24(水) 00:49:37.30 ID:xdNCPcNX0.net
パスフレーズとか困っちゃうな
12: 名無しさん@涙目です。(catv?)@\(^o^)/ [CN] 2017/05/24(水) 01:06:24.68 ID:koyFaemT0.net
いい加減じゃないやつにすると忘れて困る
14: 名無しさん@涙目です。(やわらか銀行)@\(^o^)/ [CN] 2017/05/24(水) 01:10:17.89 ID:8rP0JL9V0.net
パスとかメモ帳に書いておいて
それをコピってる
スマホやタブだとアレだが
19: 名無しさん@涙目です。(新疆ウイグル自治区)@\(^o^)/ [BR] 2017/05/24(水) 01:16:38.28 ID:/r1tOFJq0.net
>>14
KeePass使えよ
職場じゃ使えないだろうけど便利だぞ
スマホ版は通知タップでパスワードをクリップボードへコピーできて超便利
70: 名無しさん@涙目です。(catv?)@\(^o^)/ [ニダ] 2017/05/24(水) 05:48:06.10 ID:nPgXU9zI0.net
去年からさすがにフリーのパスワード管理ソフト入れたわ
全部で20か所以上あった

こんなの手動で管理したくない
15: 名無しさん@涙目です。(チベット自治区)@\(^o^)/ [SE] 2017/05/24(水) 01:10:23.19 ID:g1c3pbBF0.net
マスターアカウント以外は全部最大文字数の乱数生成だな
基本的にブラウザに記憶させて入れなかったら毎回再発行してる
20: 名無しさん@涙目です。(千葉県)@\(^o^)/ [FR] 2017/05/24(水) 01:17:56.66 ID:91FODkeU0.net
つか2バイト文字をパスワードに使わせろよw
破る気にもならないだろ
半角英数の100文字より、漢字3文字のパスワード破る方が難しい
23: 名無しさん@涙目です。(茸)@\(^o^)/ [US] 2017/05/24(水) 01:30:04.13 ID:mdAwpSDD0.net
パスワードとポイントカードはどんどん増えて行くの何とかならんのかね
29: 名無しさん@涙目です。(catv?)@\(^o^)/ [CA] 2017/05/24(水) 02:05:03.22 ID:xZcEnw6E0.net
覚えにくいランダムなパスワード作って、Webブラウザの自動記録機能に任せておいたら、
ある日ブラウザデータがぶっ壊れて全部入力し直しになって、自分の頭含め全くどこにもコピーがなかったから泣きそうになったことあるw
それ以降思い出せるようなパスワードしか使ってない。
30: 名無しさん@涙目です。(新潟県)@\(^o^)/ [US] 2017/05/24(水) 02:07:08.41 ID:qTPwm8uj0.net
定期的に変更させるより二段階認証した方がいいだろ
41: 名無しさん@涙目です。(埼玉県)@\(^o^)/ [US] 2017/05/24(水) 02:40:02.16 ID:zex1597F0.net
全部指紋にしろや
47: 名無しさん@涙目です。(群馬県)@\(^o^)/ [EU] 2017/05/24(水) 03:20:23.02 ID:SI2/BkRv0.net
メールアドレスをクッソ長いやつにすると迷惑メール全然こなくなる
フィルタだのなんだの使うよりよほど効果的
49: 名無しさん@涙目です。(中国地方)@\(^o^)/ [TW] 2017/05/24(水) 03:22:33.06 ID:wg9zIs6I0.net
>>47
メアドは長くするのと関係なしに
どこでそのメアドを登録に使ったりしたかの方が大きいよ
52: 名無しさん@涙目です。(兵庫県)@\(^o^)/ [FR] 2017/05/24(水) 03:23:52.12 ID:NS1k4+8Z0.net
こんなのわかりきってたことなのに
パスワード変更勧告ほんとうざかったからやっとという感じだわ
53: 名無しさん@涙目です。(dion軍)@\(^o^)/ [US] 2017/05/24(水) 03:25:14.79 ID:nGW2p+FL0.net
変えると忘れます
55: 名無しさん@涙目です。(大阪府)@\(^o^)/ [US] 2017/05/24(水) 03:28:47.84 ID:8FQzBnIr0.net
パスワードを変えた翌日は前のパスワードしか思い出せないから困る
71: 名無しさん@涙目です。(新疆ウイグル自治区)@\(^o^)/ [BE] 2017/05/24(水) 05:51:04.30 ID:BjNYf3dC0.net
パスワード変更して変更したパスワードがわからなくなる
そして、そのサイトは使わなくなる。終り
76: 名無しさん@涙目です。(やわらか銀行)@\(^o^)/ [US] 2017/05/24(水) 06:41:37.55 ID:lMAKhhQ00.net
もう10年以上変えてないわ
80: 名無しさん@涙目です。(大阪府)@\(^o^)/ [CN] 2017/05/24(水) 06:46:19.09 ID:Dk0T4Rmq0.net
CIAにハッキングされるの嫌だから頻繁に変えますぅ
82: 名無しさん@涙目です。(静岡県)@\(^o^)/ [ニダ] 2017/05/24(水) 06:56:05.12 ID:Jceta8Ls0.net
久しぶりにログインしようとしてパスワード忘れる
パスワード変更するか・・・そのパスワードは以前使ったので使用できません
その繰り返しでメモしてないので更に訳が分からなくなる(´・ω・`)
75: 名無しさん@涙目です。(大阪府)@\(^o^)/ [ニダ] 2017/05/24(水) 06:40:40.60 ID:CcSXrE9w0.net
パソコンにメモ帳でパス書いてる奴おるけど
いったい何考えてるんだよ
56: 名無しさん@涙目です。(やわらか銀行)@\(^o^)/ [MA] 2017/05/24(水) 03:30:20.89 ID:bgA66o3d0.net
パスワード変更する、メモを取る、メモを盗み見されるってのがよくありそう。
21: 名無しさん@涙目です。(西日本)@\(^o^)/ [US] 2017/05/24(水) 01:22:08.39 ID:bdcWC1JU0.net
64文字てお前
33: 名無しさん@涙目です。(チベット自治区)@\(^o^)/ [CN] 2017/05/24(水) 02:22:31.43 ID:bMIEAKBN0.net
無理だ。
64文字の暗記とか百人一首のようだ
40: 名無しさん@涙目です。(静岡県)@\(^o^)/ [NL] 2017/05/24(水) 02:31:31.62 ID:9nQN72nM0.net
>>33
「今日はいい天気」とかそんな感じのを入れるんだろう
58: 名無しさん@涙目です。(東京都)@\(^o^)/ [US] 2017/05/24(水) 03:35:05.80 ID:WL8cjpCk0.net
さすがに4桁の数字でパスワードとか、どんなに頻繁にパスワード変えても脆弱すぎるだろ。
パスフレーズで困ったのは、文末にピリオド入れたっけ? くらいかなw
64: 名無しさん@涙目です。(やわらか銀行)@\(^o^)/ [US] 2017/05/24(水) 05:19:42.71 ID:VbY0oSlV0.net
最低64文字www

何度も間違えてパスワードじゃなくブロックワードになっちゃう
69: 名無しさん@涙目です。(千葉県)@\(^o^)/ [JP] 2017/05/24(水) 05:44:39.15 ID:cu4Ht/xK0.net
起動するたびに64文字も打ち込みたくねええ
67: 名無しさん@涙目です。(catv?)@\(^o^)/ [BY] 2017/05/24(水) 05:35:48.27 ID:dSYga5ar0.net
全部ナマタイ認証でええやん

, ,



スポンサードリンク
スポンサードリンク
他サイト様人気記事
最新記事
こちらもオススメ
ソーシャルエリア

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

コメント

  1. 機種名NA-07C :2017/05/24(水) 08:03:53

    パスワードに8文字以上24文字以内半角英数でとか指定してくるゴミパス。ハッカーに特定されやすいやんけ、外国人なら日本語とか解読難易度上がるんだから全角漢字混じった方がセキュリティーレベル上がるだろ。

  2. 機種名NA-07C :2017/05/24(水) 08:06:10

    思ったんだけど全角ひらカナ漢字を混ぜればかなり固くなるんじゃね?

  3. 機種名NA-07C :2017/05/24(水) 08:08:01

    総当りのブルートフォースされたらやばくなぁい?

  4. 機種名NA-07C :2017/05/24(水) 08:44:01

    「パスフレーズ」って英語圏の発想だよな

  5. 機種名NA-07C :2017/05/24(水) 08:47:08

    なまたいこく

  6. 機種名NA-07C :2017/05/24(水) 09:24:01

    パスフレーズなら「臨兵闘者皆陣列在前!!」みたいに詠唱したり声に出したくなるようなのにしたいな

    英語圏だとオープン セサミ!とか増えたりして

  7. 機種名NA-07C :2017/05/24(水) 09:49:53

    ※1
    パスワードに日本語をOKにすると、いくつか新しい問題が出てくる。

    (1) そもそも日本語入力のできる端末が必要になる
    -> 海外で専用端末を使ってログインしなければならないような場合、
    そもそもログインできなくなる。
    (2) 漢字変換の違い(送りがな、同音異字など)で認証不可になる
    (3) Unicode特有の問題もある
    -> 例: 濁点付きのカナは2とおりに表現できて、見た目では区別できない

    ※3
    ブルートフォースはシステム側で防いでもらうしかない。
    認証を失敗したら認証回数に応じてしばらく応答を返さないとか、

  8. 機種名NA-07C :2017/05/24(水) 10:13:19

    パスワード→「123456」「654321」
    「@123456」「@654321」
    「a1234567」「a7654321」

    的な感じで統一するンゴ(´・ω・`)

  9. 機種名NA-07C :2017/05/24(水) 11:04:26

    ジャービスがいるから大丈夫

  10. 機種名NA-07C :2017/05/24(水) 15:02:32

    これ結構前から言われてるけど
    ついこないだノジマオンラインで強制的に鍵変更させられたわ

    他にも、セキュリティーのため定期的な鍵変更を…みたいなの出るとこあるけど
    要は運営会社がセキュリティーに自信がないってことだよな

  11. 機種名NA-07C :2017/05/24(水) 21:29:24

    > つか2バイト文字をパスワードに使わせろよw
    それだと米国政府が困るんですってよ!

  12. 機種名NA-07C :2017/05/25(木) 01:30:10

    パスワード変えろって言われる→仕方なく変える→元に戻す
    会社のPCはこれだわ。
    自分のPCは管理ソフト任せ。個々のパスワードは自分でも分からない。

    ※3
    パス付きZIPファイルの解凍とかならともかく、
    ウェブサイトなら何度も間違えたらロックする方式にすれば良い。
    何の対策もしてなかったり、総当り仕掛けられて気づかないようなボンクラサイトはどうしようもないけど。

  13. 機種名NA-07C :2017/05/26(金) 07:07:04

    頻繁に変えると忘れちゃうんだよね~
    本人さえも入れなくなるとか…本末転倒とは思っていたんだよ…手抜きに設定するとかは無いけど、本当に忘れるw

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

名前は未入力でもコメントできます。