おすすめ!

シェアする

スポンサーリンク

アメリカ政府「パスワードは定期的に変更してはいけない!」

シェアする

1: 2017/05/24(水) 00:34:00.18 ID:CjcAFZM00 BE:306759112-BRZ(11000) ポイント特典
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスワードは定期的に変更してはいけない」–米政府
http://www.newsweekjapan.jp/stories/world/2017/05/—–2.php

81: 2017/05/24(水) 06:48:49.60 ID:2ReJdMga0
>>1
あんたの立場なら、ATMのパスワードにクレームすべきだろ

156: 2017/05/24(水) 10:03:50.43 ID:a70niDTT0
>>1
CIA:おまいらは聞いてるか

159: 2017/05/24(水) 10:24:14.35 ID:FSnbMnIC0
>>1
アメリカ人は合理的だなw
ワイもキャッシュカードのパスワード20年以上使ってるけど、金パクられたことないしwww

162: 2017/05/24(水) 11:09:17.36 ID:PZLQWN1c0
>>159
むしろコイツらが言い出したんだよ

165: 2017/05/24(水) 11:36:13.92 ID:FSnbMnIC0
>>162
間違いを正せる所がアメリカ人の素晴らしいところだよw
日本なら官僚が利権にして、間違ったことを吹聴し続けるwww

2: 2017/05/24(水) 00:34:25.86 ID:CjcAFZM00
「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。

136: 2017/05/24(水) 08:46:43.63 ID:XXuV2H470
>>2
>最低64文字でスペースも入れられる「パスフレーズ」
イイネ

153: 2017/05/24(水) 09:51:57.09 ID:kA8/4rv+0
>>136
いままでのパスワードってスペース入れられないんだっけ?

141: 2017/05/24(水) 09:04:07.82 ID:RMc/SKi30
>>2
ふっかつのじゅもん、書いた事ないんやろうなぁ

3: 2017/05/24(水) 00:36:06.89 ID:wg9zIs6I0
ある程度簡単に推察されづらいようなパスワード設定してるにもかかわらず
それを何度も変更するのはさすがに無駄だわ

110: 2017/05/24(水) 08:03:59.70 ID:5E5xcZHd0
>>3
以前、日経コンピュータの記事で、
パスワード8文字ぐらいの例だったが、
毎秒変えようと10年同じなのと破られる可能性は
0.000001%ぐらいしか違わないって載ってた

5: 2017/05/24(水) 00:36:45.11 ID:NBWo5iHl0
パスワードジェネレーターで作ってるけど、使える文字や字数がサイトによって違うのは
なんとかしてほしい。パスワードに記号が使えないサイトとかあるもんな。

6: 2017/05/24(水) 00:39:46.44 ID:DPY3IvvH0
アメリカで2年以内に当たり前の常識になって
3年以内に日本の先進企業もそれにならって
日本の政府系の新規の試みでも反映されて
10年後ぐらいに行政や一般企業でも受け入れられて
20年たってもそのままの企業や行政システム3割と見た

25: 2017/05/24(水) 01:43:32.95 ID:BRpPhloW0
>>6
それな

7: 2017/05/24(水) 00:40:36.52 ID:YDgDfpWy0
どこも気が狂ったようにパス変更を求めて来るからな。
パスワードは適当に作ってるなw
だって3ヶ月後にはパスワードを変更してくださいだからな。
気合入れても仕方ない。

8: 2017/05/24(水) 00:43:38.80 ID:sNjKVTtN0
3、4種類使いわけてるが
変えてはいないな

9: 2017/05/24(水) 00:49:37.30 ID:xdNCPcNX0
パスフレーズとか困っちゃうな

10: 2017/05/24(水) 00:59:55.63 ID:fX1GOXu10
うちの会社、自分のPCログインパスを3ヶ月に1度変更とかマジキチ。
お陰で結局どっかに控えてあんの。

11: 2017/05/24(水) 01:01:45.95 ID:8Z0kJJMC0
大手通販サイトはgoogleOTPをオプションで連携してほしいわ
サイトごとにOTPアプリ入れるのはめんどいからgoogle統一で

12: 2017/05/24(水) 01:06:24.68 ID:koyFaemT0
いい加減じゃないやつにすると忘れて困る

14: 2017/05/24(水) 01:10:17.89 ID:8rP0JL9V0
パスとかメモ帳に書いておいて
それをコピってる
スマホやタブだとアレだが

19: 2017/05/24(水) 01:16:38.28 ID:/r1tOFJq0
>>14
KeePass使えよ
職場じゃ使えないだろうけど便利だぞ
スマホ版は通知タップでパスワードをクリップボードへコピーできて超便利

181: 2017/05/24(水) 13:35:16.57 ID:LN/3eeJ20
>>14
いけないことなんだろうが俺もそうしてる
サイト毎に違うパスワードなんて憶えられん

15: 2017/05/24(水) 01:10:23.19 ID:g1c3pbBF0
マスターアカウント以外は全部最大文字数の乱数生成だな
基本的にブラウザに記憶させて入れなかったら毎回再発行してる

20: 2017/05/24(水) 01:17:56.66 ID:91FODkeU0
つか2バイト文字をパスワードに使わせろよw
破る気にもならないだろ
半角英数の100文字より、漢字3文字のパスワード破る方が難しい

22: 2017/05/24(水) 01:27:50.09 ID:wg9zIs6I0
>>20
それアノニマスがアジア限定向けのクラックアルゴリズムに興味持ちそう

26: 2017/05/24(水) 01:46:13.88 ID:91FODkeU0
>>22
ランダムの半角英数文字8文字を総当りするなんて、今のPCスペックならあっという間に出来るよな
2バイト文字使えてパスワードが単純な”山田太郎”でも破るの無理だよなw

27: 2017/05/24(水) 01:54:51.38 ID:wg9zIs6I0
>>26
なるほど
2バイト文字って半角文字圏からすると厄介なところをあえてセキュリティに生かすのか

28: 2017/05/24(水) 02:03:14.87 ID:91FODkeU0
>>27
まさにそう
その辺のフリーソフトだってコピペすれば2バイト文字もパスワードに設定出来るのに
大手のどこ行っても半角英数文字で8~32で設定してくださいみたいなのばっかり
32文字の半角英数の総当たりなんて漢字2文字より楽勝じゃん

143: 2017/05/24(水) 09:06:36.10 ID:8zWA1x4k0
>>26

総当りで 128^8 と、256^8の違いでしょ?

覚えやすいとは思うけど256倍の差しかないよ

144: 2017/05/24(水) 09:08:42.63 ID:/A33nuc90
>>26
それだけ単純だと辞書攻撃されて一瞬で終わり
漢字、ひらがな、記号、半角文字英数の組み合わせが最強

23: 2017/05/24(水) 01:30:04.13 ID:mdAwpSDD0
パスワードとポイントカードはどんどん増えて行くの何とかならんのかね

ピックアップ!
スポンサーリンク
ピックアップ!

引用元

http://hayabusa9.2ch.net/test/read.cgi/news/1495553640/

24: 2017/05/24(水) 01:32:37.19 ID:FHHadn1t0
スノーデンだっけ?
ツィッターには日本語だ、
情報量大杉、とか絶賛してたな

29: 2017/05/24(水) 02:05:03.22 ID:xZcEnw6E0
覚えにくいランダムなパスワード作って、Webブラウザの自動記録機能に任せておいたら、
ある日ブラウザデータがぶっ壊れて全部入力し直しになって、自分の頭含め全くどこにもコピーがなかったから泣きそうになったことあるw
それ以降思い出せるようなパスワードしか使ってない。

30: 2017/05/24(水) 02:07:08.41 ID:qTPwm8uj0
定期的に変更させるより二段階認証した方がいいだろ

31: 2017/05/24(水) 02:12:30.37 ID:q6bL6kK50
未だに大文字小文字の混在を矯正してくるとこシネめんどくさい

32: 2017/05/24(水) 02:17:38.50 ID:9nQN72nM0
パスワードの変更を求めてくるメールが暗号化されてないとか頭悪すぎるんだが
セコムとかですら暗号化してない

61: 2017/05/24(水) 03:50:48.82 ID:0ELloDQS0
>>32
暗号化の必要もないだろ

33: 2017/05/24(水) 02:22:31.43 ID:bMIEAKBN0
無理だ。
64文字の暗記とか百人一首のようだ

40: 2017/05/24(水) 02:31:31.62 ID:9nQN72nM0
>>33
「今日はいい天気」とかそんな感じのを入れるんだろう

34: 2017/05/24(水) 02:23:12.05 ID:uZdHYHjJ0
三井住友銀行は最低なザルシステム

45: 2017/05/24(水) 02:54:36.90 ID:D5bvPhyl0
>>34
ワンタイムパスワードが義務になったから
まだマシな方かと思ってたけど

35: 2017/05/24(水) 02:26:04.61 ID:SlUAEXoQ0
2バイト文字なら32かね?和歌。でいいなすぐ割られそうだけど

36: 2017/05/24(水) 02:26:28.93 ID:wg9zIs6I0
ネットバンキング系とか下手したら数字だけでログオンだし
ユーザーにパスワードの変更求める前にやる事あるんじゃないのか

37: 2017/05/24(水) 02:27:27.48 ID:Rp1EHhZ20
「abcd123」みたいなパスワードを止めて、「おいしいお水で作ったお小水」みたいなパス文章に変えろって事か

51: 2017/05/24(水) 03:23:41.82 ID:91FODkeU0
>>37
その「おいしいお水で作ったお小水」とかがパスだったらどんなに複雑にした半角英数よりってか1万字半角英数並べるより突破するの無理
2バイト文字のパスなんてそもそも突破する気にすらならん、半角英数に絞って総当たりで検索するのと労力が違いすぎる
最初の「お」ですらひらがな、カタカナ、漢字で何十万字あるのか解らんレベルだし
半角英数ならたった26+10だぜw
半角英数10桁のパスとか漢字2文字のパス破るより簡単

54: 2017/05/24(水) 03:25:36.88 ID:wg9zIs6I0
>>51
日本のお偉いさんがそういうのに気づいてくれたらいいんだけどな

108: 2017/05/24(水) 07:57:52.52 ID:9ZOBxdbd0
>>51
すげー
またひとつ賢くなった

41: 2017/05/24(水) 02:40:02.16 ID:zex1597F0
全部指紋にしろや

180: 2017/05/24(水) 13:31:52.97 ID:HH21BWz80
>>41
指紋やバイオメトリクスはむしろセキュリティ的にはパスワードより脆弱
漏れた時に変えようがない

47: 2017/05/24(水) 03:20:23.02 ID:SI2/BkRv0
メールアドレスをクッソ長いやつにすると迷惑メール全然こなくなる
フィルタだのなんだの使うよりよほど効果的

49: 2017/05/24(水) 03:22:33.06 ID:wg9zIs6I0
>>47
メアドは長くするのと関係なしに
どこでそのメアドを登録に使ったりしたかの方が大きいよ

50: 2017/05/24(水) 03:22:33.95 ID:A8NhlZ9E0
パスワードの80%が123456 だったからな( ´・ω・) 

52: 2017/05/24(水) 03:23:52.12 ID:NS1k4+8Z0
こんなのわかりきってたことなのに
パスワード変更勧告ほんとうざかったからやっとという感じだわ

53: 2017/05/24(水) 03:25:14.79 ID:nGW2p+FL0
変えると忘れます