※アドブロック等の広告非表示プラグインやアドオンを利用している場合、一部のコンテンツが表示されなくなったり、サイト全体のレイアウトが崩れたりする場合があります。

米政府機関「パスワード変更をユーザーに定期的に要求はダメ」←脆弱なパスワード使用につながるもよう…

2か月前 2ちゃんねる・5ちゃんねる, IT・PC, ニュース, 海外, 社会, 議論 1

PixabayのTheDigitalArtistによる画像です Photo - https://pixabay.com/images/id-1952019/
PixabayのTheDigitalArtistによる画像です Photo - https://pixabay.com/images/id-1952019/
1 : 2024/10/07(月) 14:26:37.37

 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。

多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。

これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。

パスワードを変更するたびに、攻撃者が推測しやすい貧弱なパスワードをユーザーが選んでしまうことが示されている。例えば、無数のパスワードを覚えられないため、単純な単語やフレーズに増加する数字を付け加えるだけといった悪い決定をし始める。「password1」「password2」「password12」というように。

新しく定めた標準では、NISTはオンラインツールやソフトウェアが「定期的にパスワードを変更するようユーザーに要求してはならない」としている。これは、頻繁な変更がかえって脆弱なパスワードの使用につながる可能性があるためである。ただし、パスワードの侵害が疑われる場合は、即座に変更を強制する。

パスワードの長さについては、最低8文字を必須とし、15文字以上を推奨している。最大長は少なくとも64文字まで許可すべきである。これにより、ユーザーが十分に長く、複雑なパスワードを設定できるようになる。

文字種については、印刷可能なASCII文字とスペース、さらにはUnicode文字も受け入れるべきである。ただし、大文字小文字の混在や数字、記号の使用を強制するような複雑な規則は課さない。これは、そのような規則が必ずしもパスワードの強度を高めるわけではなく、むしろユーザーの利便性を損なう可能性があるためである。

全文はソースでご確認ください。
https://www.itmedia.co.jp/news/articles/2410/07/news054.html

2 : 2024/10/07(月) 14:27:37.59
そりゃそうだけど、固定も怖くね

44 : 2024/10/07(月) 14:51:59.28
>>2
頻繁に変えさせると奇数月はコレ、偶数月はコレ、とかパターン化する奴だらけになる(結果、固定と変わらん)

3 : 2024/10/07(月) 14:28:32.61
長けりゃいいんだよ

5 : 2024/10/07(月) 14:30:25.05

うちの会社がなんか変でなぁ
グループウェアのパスワード変更を半年ごとに強制なんだが、
過去に使ったパスが「以前使われたパスワードです」と弾かれるんだよ

過去何年ぶんのパスワード履歴を全部保管してるってことだよな
逆に危なくねえか?これ

14 : 2024/10/07(月) 14:34:43.29
>>5
2カ月で強制的に変えさせられてるけど
6.7回くらい前まで記録されてて同じの止めろとエラー出るわ
こんなもん覚えられっこないから一文字づつ順番で変えてるだけだが
記録まとめて漏れたら今何か傾向で完全にばれるw

25 : 2024/10/07(月) 14:41:07.83
>>5
パスワードの文字列そのものを保存してるわけじゃないから問題ない
・・・はずなんだが、時々生のパスワードそのものを保存してるケースもあるからなんとも言えんな。
(流出したパスワードで他のサイトに侵入されてしまうのはまさにこのケース)

27 : 2024/10/07(月) 14:41:17.79
>>5
半年はまだいい方なのでは
3か月で変更が2つあったわ

28 : 2024/10/07(月) 14:41:17.94
>>5
下6桁を
202410の年月にすれば、いいんじゃないかな

35 : 2024/10/07(月) 14:44:18.60
>>5
いや、ハッシュを保存して比較してるだけだろう
同じパスワードならハッシュも一緒


名無しさんのおすすめ

7 : 2024/10/07(月) 14:30:39.75
プライベートのアカウントは大事にするけど
職場支給のアカウントは適当な扱いだな
やはり数字を増やしていくパターン多いのかw

8 : 2024/10/07(月) 14:31:29.81
覚えるの面倒だからみんなabcdefg使ってる
数字入れなきゃ駄目なときはabcd0123とかね

9 : 2024/10/07(月) 14:31:29.94
何年これ言い続けてんだよw

12 : 2024/10/07(月) 14:33:33.86
>>9
でも改めない銀行

10 : 2024/10/07(月) 14:31:30.35
スマホも現状は完熟してんだからパスワード代わりになる生体認証技術をもっと高めるべき

11 : 2024/10/07(月) 14:31:52.09
特定キーをキーボード隣にずらして繰り返し使用奴wwwwww

15 : 2024/10/07(月) 14:34:43.72
以前のパスワード弾かれるから思いっきりわかりやすい連番パスワードを設定するに至った。

16 : 2024/10/07(月) 14:35:27.86
2週間でに1回とかになると交互やローテで同じパスワード使い回すようになるしな

17 : 2024/10/07(月) 14:35:59.72
知ってた

18 : 2024/10/07(月) 14:36:15.78
今は個人アカウントへの不正ログインの数が凄まじいからパスワードはかなり大事

20 : 2024/10/07(月) 14:38:46.16
5454ochinchin4545

21 : 2024/10/07(月) 14:39:30.28
文字列+数字+文字列
これが基本

22 : 2024/10/07(月) 14:39:51.28
企業側の責任転嫁でやってるからな
システム管理が外注だから仕方ないが

23 : 2024/10/07(月) 14:40:11.35

そりゃそうだ
使いまわし

会社のだって3回ぐらいすれば以前使っていたの使えるでしょ

24 : 2024/10/07(月) 14:40:46.88
いつも思うけどあんな単純なパスにしてる人ほんまにおるんか

26 : 2024/10/07(月) 14:41:12.02
ほんまこれな最終的には確実に末尾の数字を増やすようになる

29 : 2024/10/07(月) 14:41:25.41

そりゃあな
自分も末尾の文字だけ変えて定期的に使い回てるだけだし。

そもそも、複数サイトで、8文字以上で、大小記号入りのパスワードを定期的に完全に変えて覚えきれる人間は、IQ180とかの天才だと思う。

32 : 2024/10/07(月) 14:42:43.00
>>29
プライベートでいろんなサイトに作るアカウントはパスワードマネージャーに任せろ

51 : 2024/10/07(月) 14:54:07.57
>>32
アレの仕組みあんま理解してないけど安全性はどうなん?

30 : 2024/10/07(月) 14:42:11.45
覚えられるわけないからパスワードマネージャ使うけど一元管理するとそっから漏れた時怖いんだよな

33 : 2024/10/07(月) 14:43:33.89

人は記憶型と思考型に大別できる

パスワードは破られる
それを承知でネットは使うべき

難易度のちょっと高いシステムもできる
それは漢字とひらがなをパスワードで使えるようにすること

34 : 2024/10/07(月) 14:44:12.67
漢字OKにして欲しいわ
「覇須輪亜怒一」 とかにしたらAIでも見破れんだろ

39 : 2024/10/07(月) 14:46:44.79
>>34
平仮名カタカナ漢字混ぜた日本語パスワードが最強やと思うわ

37 : 2024/10/07(月) 14:46:05.20
基本のパスの前後と真ん中に@とか記号入れてたら突破はそう簡単にできやんやろ

38 : 2024/10/07(月) 14:46:27.91
普通は変更せずに2~3個をずっと使い回すよな

42 : 2024/10/07(月) 14:50:51.01
2、3個でループだね
パスワード分からなくなるのが一番ヤバイし

43 : 2024/10/07(月) 14:51:32.09
パスワードの使い回しがリスクあるのはわかるけど
定期的な変更って意味ある?
例えば0721ってパスワードだったのを1919に変えても
総当たりをされたらいずれヒットする可能性はかわらないよね
あくまでも例なので4桁数字の脆弱性はまた別の話ね

45 : 2024/10/07(月) 14:52:17.82
Pass1234

46 : 2024/10/07(月) 14:52:18.34
変えても意味無いからな
覚えることも難しい長くて複雑なパスワードなんて管理ツールを使わないと人間には扱えない
もはや文字のパスワードは存在理由が薄い

47 : 2024/10/07(月) 14:53:03.75
パスワード入れてくれって言うから
passwordにしちゃダメだったのか

48 : 2024/10/07(月) 14:53:14.02
そもそもアカウント盗まれた事ねーし

59 : 2024/10/07(月) 15:02:09.40
モニタの枠に書いとけばいいやろ

67 : 2024/10/07(月) 15:10:29.38
>>59
昔それで笑いとってたけど
最近だと紙に書いて保存が結局良かったとか記事あったな

61 : 2024/10/07(月) 15:06:45.02

1年毎に強制的にパスワード変更求めてくるSAP\(^o^)/

色々ITシステム使ってるけど強制変更求めてくるのはSAPのみ

63 : 2024/10/07(月) 15:07:56.27
言われてるぞ楽天

64 : 2024/10/07(月) 15:08:55.17
会社で変えろって言われるけど全部記憶するのは不可能なのにパスワード管理ソフト買ってくれない。


【PR】

ノートライフ パスワード帳 管理 a5サイズ フルカラー シンプル 90アカウント アカウント、メールアドレス管理 (記入を楽にする、お手軽省略仕様あり)

引用元(本スレ):