1: 2017/08/20(日) 09:16:20.25 ID:RgfqfAWe0● BE:601381941-PLT(13121) ポイント特典
パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」
「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。
バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的にパスワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。
しかしこうしたルールは、現在では「間違い」という。
例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――
というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。
「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。
今年6月に冊子「800-63」は全面改訂され、こうした“最悪のルール”は撤廃された。
パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」
「大文字や数字や記号を混ぜたパスワードを、90日ごとに変更する」――そんなルールは間違いかもしれない。
52: 2017/08/20(日) 10:03:37.43 ID:POn6YG9W0
>>1
いや、今時は前のパスワードから数文字変えないとNGになるようになっとるやろ。
2: 2017/08/20(日) 09:17:30.17 ID:jiB8FRH60
8: 2017/08/20(日) 09:23:24.65 ID:rWoA9Wr80
>>2
そうそうw
覚えるの不可能なランダムのを 会社のだと使わされるしw
しかもそれをお知らせするメールを間違えてやがってw
0とO ゼロとオー なw
見てもわかんねーだろ?
こういう感じで間違えてて、ログイン出来ね―よw で殺到する始末 だったらしい
おじーちゃんは何度言っても、付箋紙に書いてモニターに貼るw
上司だと言いにくいしー で放置だ
そもそも一番上のおじーちゃんが付箋で貼ってるからな^^
134: 2017/08/20(日) 12:06:30.11 ID:YCLl/lFQ0
>>8
ウチとおなじだわ
仕方ないので毎週のランダムパスワードをテキストファイルに書いてデスクトップに置いてコピペして使ってる
少なくとも俺の社用PCに関しては導入前よりセキュリティが落ちたと断言できる
4: 2017/08/20(日) 09:19:17.52 ID:b8ICfuWX0
6: 2017/08/20(日) 09:20:19.04 ID:BLoJziaH0
>盗まれた可能性があるときだけでよい
わかれば苦労しない
9: 2017/08/20(日) 09:24:34.49 ID:MofM0hzH0
10: 2017/08/20(日) 09:25:37.56 ID:45GqJVA20
11: 2017/08/20(日) 09:26:08.64 ID:26jpSyra0
12: 2017/08/20(日) 09:27:14.49 ID:Uzux8FnO0
13: 2017/08/20(日) 09:27:17.82 ID:iRKK7HQf0
その気になられたら90日じゃ遅すぎるしめんどくささと釣り合ってない
14: 2017/08/20(日) 09:28:38.96 ID:IaTD36+g0
どうせ次回から自動的にログイン、時間がたって入力要求されたらパスワードを忘れたから再設定のコンボだし
22: 2017/08/20(日) 09:32:38.05 ID:bYKC54cx0
15: 2017/08/20(日) 09:28:58.27 ID:ntwEERbl0
パスワードなんてPCのメモ帳に書いとけばいいじゃん
覚えようとするからいけないんだろ
90: 2017/08/20(日) 10:37:06.66 ID:cJ1fl+nc0
>>15
宝箱の鍵を宝箱にしまうみたいな(´・ω・`)
16: 2017/08/20(日) 09:29:36.90 ID:ggdfbJbd0
ヤフーメールは定期的にパスワード変えろってウザイ!
もうやめてくれるのかな
17: 2017/08/20(日) 09:30:06.13 ID:rWoA9Wr80
同じPCなのに
ログイン用
このシステム用
このシステム用
とかで通常6種類くらいのパスワーを使わされるんだわ
大文字と小文字もしっかり区別
パスワード記録するアプリは使用禁止w
手打ち以外入力不可能
ログインするとこでおじーちゃんがつまづくw
しかも3回間違えると30分ログイン不可能
業務が止まるw
25: 2017/08/20(日) 09:34:07.02 ID:ggdfbJbd0
>>17
機械でもあるなw
超敏感な安全装置つけて、オペレーターの安全守ろうとしたら、機械があまりにも止まるので
安全装置切って動かしてるとかw
設計した人が、何が重要か分かってない場合に多い
60: 2017/08/20(日) 10:12:39.66 ID:Po64FuML0
85: 2017/08/20(日) 10:27:33.39 ID:ddjzjX2C0
>>60
本当に馬鹿だと思うが
この手のルール少しでもゆるくしようとすると
IT部門の上の人間がやれセキュリティレベルがどうとか言い出してにっちもさっちもいかん
96: 2017/08/20(日) 10:49:11.76 ID:BzecVdLo0
104: 2017/08/20(日) 11:01:47.01
>>96
生体認証にしろよ
何度も業務止まっても差し支えない会社なら好きにしたら良いよ
18: 2017/08/20(日) 09:30:48.50 ID:0wATq/nQ0
19: 2017/08/20(日) 09:30:55.54 ID:m32TrrWA0
流出リスクよりも使用不能になるリスクの方が圧倒的に高いよな
引用元 http://hayabusa9.2ch.net/test/read.cgi/news/1503188180/
20: 2017/08/20(日) 09:31:39.34 ID:9gqJiGTE0
そりゃそうだろ
漏れたらもうその時点でアウトだし
漏れてなかったら変更しても意味無いし
21: 2017/08/20(日) 09:31:50.16 ID:8LYuIo1V0
23: 2017/08/20(日) 09:33:44.27 ID:4ARUmh2a0
こういうのを管理する部門って社員の負荷を減らす努力ってのを全くしないよな
問題があったときに自分たちが追及されたくないから社員の仕事を増やしてでも設定・手順を厳しくする
公務員と一緒の無能集団
31: 2017/08/20(日) 09:43:39.53 ID:fZ3sUi+30
67: 2017/08/20(日) 10:15:05.34 ID:ifMqVN9g0
>>23
うちの会社かよw
人事部とか総務部とか仕事の出来ない無能を押し込めておく部署何とかならないのかなぁ
クビにも出来ないだろうし
120: 2017/08/20(日) 11:37:41.92 ID:d2x/y3VK0
>>23
作業を面倒にするとセキュリティが向上すると思ってる上に、社員に押し付ける工数はゼロだと勘違いしてるんだよな
128: 2017/08/20(日) 11:52:08.92 ID:8pThmAF/0
>>23
IT統制として監査法人から追及されて仕方なくやらされてるんですよ
社員の負担減らそうとパスワード入力関連のシステム改変提案しても費用対効果だ何だ言われて上から却下されるし
監査法人や管理部長と戦ってかなり社員の負担減らすことに成功してそれでも仕方なく残った統制手順に文句言われるんじゃやってられんわ
131: 2017/08/20(日) 12:01:36.83 ID:P/zPndDM0
>>128
指紋認証とかカード認証にしようといっても通らないもんなw
24: 2017/08/20(日) 09:33:53.25 ID:38pl8QW40
確実に解析困難なパスワードを作るなら多面サイコロを振る
27: 2017/08/20(日) 09:38:57.38 ID:UbNI/jbt0
顔認証とか指紋認証とかできないの?
あと数十秒で数字変わるスマホアプリのあれあるじゃん?
30: 2017/08/20(日) 09:43:22.14 ID:D/dEPYxd0
>>27
指紋は読み取り部分が直ぐダメになってメンテ高い 静脈も同じ
顔認証は光源の変化に弱すぎる
51: 2017/08/20(日) 10:03:08.75 ID:UbNI/jbt0
>>30
そうなんだ
顔認証は精度半端ねーみたいなのたまにテレビでやってるけど色々条件揃わないとだめなんだな
56: 2017/08/20(日) 10:06:42.28 ID:D/dEPYxd0
>>51
一時期タバコの自販機に顔認証付いたけどしかめっ面して眉間にシワ寄せりゃ中学生でも買えたからすぐ無くなった
28: 2017/08/20(日) 09:40:09.68 ID:mMsH9+xB0
29: 2017/08/20(日) 09:43:17.63 ID:Gmk0xtmA0
ネットバンキングみたいなとこならその都度発行されるメール通知パスワードの併用で十分セキュアだろうし
メールのパスワードは完全ランダム文字列で数か月おきに桁を増やしていく
どうでもいいサイトなら一回作ってそのまま
33: 2017/08/20(日) 09:45:29.99 ID:1/kGZWPf0
数字アルファベットの混在はまだ許せるけど
こないだ大文字小文字の混在も要求してくるのあってブチ切れたわ
絶対忘れる自信ある
34: 2017/08/20(日) 09:46:42.67 ID:rWoA9Wr80
>>33
しかも数字何文字以上使用しろだと
大文字と小文字をそれぞれ何文字以上入れろだの
同じ数字使うなとか同じアルファベット使うなとか
うっせー っつうのw
まだランダムであっちからこれ使え 言われる方がマシ
35: 2017/08/20(日) 09:47:16.70 ID:qKnt+OJf0
37: 2017/08/20(日) 09:51:52.60 ID:l7Z/j3Cs0
0とかoとか人間が手打ちで間違えるだけでツールでやられたらザルだぞ
39: 2017/08/20(日) 09:52:50.91 ID:D/dEPYxd0
何でツーロックって廃れたんだろ 簡単なパスでも複雑なワンロックより強硬なのに
40: 2017/08/20(日) 09:53:51.73 ID:ItgNmNzh0
規格にパスワードの定期変更は愚策で直ちに止めるべきとしっかり書いとけよ
41: 2017/08/20(日) 09:55:18.90 ID:85J6chNL0
これは思ってた
たまたまやつらが仕掛けてきたときに自動で突破できるまでトライされるだけだからな
突破されたままの状態や奇跡的にハック中じゃないと変える意味なんてないよな
42: 2017/08/20(日) 09:56:09.87 ID:rWoA9Wr80
パスワード変更を定期的にしてないシステムは
自動的にログイン出来なくなります^^
長期出張とかでアウトに
夏休み明けで入れない^^
ログイン出来ない の問い合わせ殺到 でパンク^^
43: 2017/08/20(日) 09:56:49.86 ID:V3lQMEQx0
facebookもtwitterもgoogleアカウントもamazonも
2段階認証に対応している
44: 2017/08/20(日) 09:57:32.18 ID:EdyhqXe/0
46: 2017/08/20(日) 09:59:49.98 ID:L5SXBIdE0
頻繁にパスワード変えろと言ってくるから、
結局は単純なパスワード、前回から少しだけ変えたパスワード、メモ書きを残すのいずれか、または全部をする事になる
そりゃ却ってセキュリティはザルになりますよ
55: 2017/08/20(日) 10:06:08.41 ID:TvkxrL970
