おすすめ!

シェアする

スポンサーリンク

研究者「パスワードは90日ごとに変更しろ!」 → 世界で定着 → 研究者「あ、ごめん、意味なかったわwwww」

シェアする

1: 2017/08/20(日) 09:16:20.25 ID:RgfqfAWe0● BE:601381941-PLT(13121) ポイント特典

パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」

「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。

バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的にパスワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。

しかしこうしたルールは、現在では「間違い」という。

例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――
というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。

「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。

今年6月に冊子「800-63」は全面改訂され、こうした“最悪のルール”は撤廃された。

パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」
「大文字や数字や記号を混ぜたパスワードを、90日ごとに変更する」――そんなルールは間違いかもしれない。

52: 2017/08/20(日) 10:03:37.43 ID:POn6YG9W0
>>1
いや、今時は前のパスワードから数文字変えないとNGになるようになっとるやろ。

2: 2017/08/20(日) 09:17:30.17 ID:jiB8FRH60
そんなにパスワード覚えれねーよ

8: 2017/08/20(日) 09:23:24.65 ID:rWoA9Wr80

>>2
そうそうw
覚えるの不可能なランダムのを 会社のだと使わされるしw
しかもそれをお知らせするメールを間違えてやがってw
0とO ゼロとオー なw
見てもわかんねーだろ?
こういう感じで間違えてて、ログイン出来ね―よw で殺到する始末 だったらしい

おじーちゃんは何度言っても、付箋紙に書いてモニターに貼るw
上司だと言いにくいしー で放置だ
そもそも一番上のおじーちゃんが付箋で貼ってるからな^^

134: 2017/08/20(日) 12:06:30.11 ID:YCLl/lFQ0
>>8
ウチとおなじだわ
仕方ないので毎週のランダムパスワードをテキストファイルに書いてデスクトップに置いてコピペして使ってる
少なくとも俺の社用PCに関しては導入前よりセキュリティが落ちたと断言できる

4: 2017/08/20(日) 09:19:17.52 ID:b8ICfuWX0
ガバガバじゃねーか

6: 2017/08/20(日) 09:20:19.04 ID:BLoJziaH0

>盗まれた可能性があるときだけでよい

わかれば苦労しない

9: 2017/08/20(日) 09:24:34.49 ID:MofM0hzH0
覚えきれんて、

10: 2017/08/20(日) 09:25:37.56 ID:45GqJVA20
人類がここまでアホだと想定できなかったんだろ

11: 2017/08/20(日) 09:26:08.64 ID:26jpSyra0
28度と同じ

12: 2017/08/20(日) 09:27:14.49 ID:Uzux8FnO0
つまり1234で十分だったって事か

13: 2017/08/20(日) 09:27:17.82 ID:iRKK7HQf0
その気になられたら90日じゃ遅すぎるしめんどくささと釣り合ってない

14: 2017/08/20(日) 09:28:38.96 ID:IaTD36+g0
どうせ次回から自動的にログイン、時間がたって入力要求されたらパスワードを忘れたから再設定のコンボだし

22: 2017/08/20(日) 09:32:38.05 ID:bYKC54cx0
>>14
これだな

15: 2017/08/20(日) 09:28:58.27 ID:ntwEERbl0

パスワードなんてPCのメモ帳に書いとけばいいじゃん

覚えようとするからいけないんだろ

90: 2017/08/20(日) 10:37:06.66 ID:cJ1fl+nc0
>>15
宝箱の鍵を宝箱にしまうみたいな(´・ω・`)

16: 2017/08/20(日) 09:29:36.90 ID:ggdfbJbd0
ヤフーメールは定期的にパスワード変えろってウザイ!
もうやめてくれるのかな

17: 2017/08/20(日) 09:30:06.13 ID:rWoA9Wr80

同じPCなのに
ログイン用
このシステム用
このシステム用
とかで通常6種類くらいのパスワーを使わされるんだわ
大文字と小文字もしっかり区別
パスワード記録するアプリは使用禁止w
手打ち以外入力不可能

ログインするとこでおじーちゃんがつまづくw
しかも3回間違えると30分ログイン不可能

業務が止まるw

25: 2017/08/20(日) 09:34:07.02 ID:ggdfbJbd0

>>17
機械でもあるなw
超敏感な安全装置つけて、オペレーターの安全守ろうとしたら、機械があまりにも止まるので
安全装置切って動かしてるとかw

設計した人が、何が重要か分かってない場合に多い

60: 2017/08/20(日) 10:12:39.66 ID:Po64FuML0
>>17
システム部門バカじゃねーの

85: 2017/08/20(日) 10:27:33.39 ID:ddjzjX2C0
>>60
本当に馬鹿だと思うが
この手のルール少しでもゆるくしようとすると
IT部門の上の人間がやれセキュリティレベルがどうとか言い出してにっちもさっちもいかん

96: 2017/08/20(日) 10:49:11.76 ID:BzecVdLo0
>>60
ISMSのため

104: 2017/08/20(日) 11:01:47.01
>>96
生体認証にしろよ
何度も業務止まっても差し支えない会社なら好きにしたら良いよ

18: 2017/08/20(日) 09:30:48.50 ID:0wATq/nQ0
パスワードを忘れて入れなくなるな

19: 2017/08/20(日) 09:30:55.54 ID:m32TrrWA0
流出リスクよりも使用不能になるリスクの方が圧倒的に高いよな

ピックアップ!
スポンサーリンク
ピックアップ!

引用元 http://hayabusa9.2ch.net/test/read.cgi/news/1503188180/

20: 2017/08/20(日) 09:31:39.34 ID:9gqJiGTE0
そりゃそうだろ
漏れたらもうその時点でアウトだし
漏れてなかったら変更しても意味無いし

21: 2017/08/20(日) 09:31:50.16 ID:8LYuIo1V0
知ってた

23: 2017/08/20(日) 09:33:44.27 ID:4ARUmh2a0
こういうのを管理する部門って社員の負荷を減らす努力ってのを全くしないよな
問題があったときに自分たちが追及されたくないから社員の仕事を増やしてでも設定・手順を厳しくする
公務員と一緒の無能集団

31: 2017/08/20(日) 09:43:39.53 ID:fZ3sUi+30
>>23
ほんとこれ

67: 2017/08/20(日) 10:15:05.34 ID:ifMqVN9g0
>>23
うちの会社かよw
人事部とか総務部とか仕事の出来ない無能を押し込めておく部署何とかならないのかなぁ
クビにも出来ないだろうし

120: 2017/08/20(日) 11:37:41.92 ID:d2x/y3VK0
>>23
作業を面倒にするとセキュリティが向上すると思ってる上に、社員に押し付ける工数はゼロだと勘違いしてるんだよな

128: 2017/08/20(日) 11:52:08.92 ID:8pThmAF/0
>>23
IT統制として監査法人から追及されて仕方なくやらされてるんですよ
社員の負担減らそうとパスワード入力関連のシステム改変提案しても費用対効果だ何だ言われて上から却下されるし
監査法人や管理部長と戦ってかなり社員の負担減らすことに成功してそれでも仕方なく残った統制手順に文句言われるんじゃやってられんわ

131: 2017/08/20(日) 12:01:36.83 ID:P/zPndDM0
>>128
指紋認証とかカード認証にしようといっても通らないもんなw

24: 2017/08/20(日) 09:33:53.25 ID:38pl8QW40
確実に解析困難なパスワードを作るなら多面サイコロを振る

27: 2017/08/20(日) 09:38:57.38 ID:UbNI/jbt0
顔認証とか指紋認証とかできないの?
あと数十秒で数字変わるスマホアプリのあれあるじゃん?

30: 2017/08/20(日) 09:43:22.14 ID:D/dEPYxd0
>>27
指紋は読み取り部分が直ぐダメになってメンテ高い 静脈も同じ
顔認証は光源の変化に弱すぎる

51: 2017/08/20(日) 10:03:08.75 ID:UbNI/jbt0
>>30
そうなんだ
顔認証は精度半端ねーみたいなのたまにテレビでやってるけど色々条件揃わないとだめなんだな

56: 2017/08/20(日) 10:06:42.28 ID:D/dEPYxd0
>>51
一時期タバコの自販機に顔認証付いたけどしかめっ面して眉間にシワ寄せりゃ中学生でも買えたからすぐ無くなった

28: 2017/08/20(日) 09:40:09.68 ID:mMsH9+xB0
生体認証なかなか普及しないよね

29: 2017/08/20(日) 09:43:17.63 ID:Gmk0xtmA0
ネットバンキングみたいなとこならその都度発行されるメール通知パスワードの併用で十分セキュアだろうし
メールのパスワードは完全ランダム文字列で数か月おきに桁を増やしていく
どうでもいいサイトなら一回作ってそのまま

33: 2017/08/20(日) 09:45:29.99 ID:1/kGZWPf0
数字アルファベットの混在はまだ許せるけど
こないだ大文字小文字の混在も要求してくるのあってブチ切れたわ
絶対忘れる自信ある

34: 2017/08/20(日) 09:46:42.67 ID:rWoA9Wr80
>>33
しかも数字何文字以上使用しろだと
大文字と小文字をそれぞれ何文字以上入れろだの
同じ数字使うなとか同じアルファベット使うなとか
うっせー っつうのw
まだランダムであっちからこれ使え 言われる方がマシ

35: 2017/08/20(日) 09:47:16.70 ID:qKnt+OJf0
休み明けにパス忘れるやつ

37: 2017/08/20(日) 09:51:52.60 ID:l7Z/j3Cs0
0とかoとか人間が手打ちで間違えるだけでツールでやられたらザルだぞ

39: 2017/08/20(日) 09:52:50.91 ID:D/dEPYxd0
何でツーロックって廃れたんだろ 簡単なパスでも複雑なワンロックより強硬なのに

40: 2017/08/20(日) 09:53:51.73 ID:ItgNmNzh0
規格にパスワードの定期変更は愚策で直ちに止めるべきとしっかり書いとけよ

41: 2017/08/20(日) 09:55:18.90 ID:85J6chNL0
これは思ってた
たまたまやつらが仕掛けてきたときに自動で突破できるまでトライされるだけだからな
突破されたままの状態や奇跡的にハック中じゃないと変える意味なんてないよな

42: 2017/08/20(日) 09:56:09.87 ID:rWoA9Wr80
パスワード変更を定期的にしてないシステムは
自動的にログイン出来なくなります^^
長期出張とかでアウトに
夏休み明けで入れない^^
ログイン出来ない の問い合わせ殺到 でパンク^^

43: 2017/08/20(日) 09:56:49.86 ID:V3lQMEQx0
facebookもtwitterもgoogleアカウントもamazonも
2段階認証に対応している

44: 2017/08/20(日) 09:57:32.18 ID:EdyhqXe/0
パスワードはunicodeで24文字にするべき

46: 2017/08/20(日) 09:59:49.98 ID:L5SXBIdE0
頻繁にパスワード変えろと言ってくるから、
結局は単純なパスワード、前回から少しだけ変えたパスワード、メモ書きを残すのいずれか、または全部をする事になる
そりゃ却ってセキュリティはザルになりますよ

55: 2017/08/20(日) 10:06:08.41 ID:TvkxrL970
旧パスワードから一つ隣のキーにすればOK

『研究者「パスワードは90日ごとに変更しろ!」 → 世界で定着 → 研究者「あ、ごめん、意味なかったわwwww」』へのコメント

  1. 名前:匿名 投稿日:2017/08/20(日) 13:51:58 ID:30df287d0 返信

    センサーを付けて(ラインに)触れないようにした新型を導入したら、事故が起きた時使えないと解りセンサーを壊して使っていたのを思い出した

  2. 名前:匿名 投稿日:2017/08/20(日) 14:00:56 ID:9e221fb60 返信

    バックドアやテンペストスキミング、マイクロカメラで盗撮、ガラスに振動する情報をレーザー光当てて分析するとか、顔認証登録で自動プログラムが行き先を追いかけるとか衛星での分析や生体認証もコピーされて他人が転用するとか、完全に全てが対応出来ないんですわ
    アナログこそがベターとか冗談キツイ