1: 名無しさん@涙目です。 NG NG BE:601381941-PLT(13121).net
パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」

「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。

バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的にパスワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。

しかしこうしたルールは、現在では「間違い」という。

例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。

「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。

今年6月に冊子「800-63」は全面改訂され、こうした“最悪のルール”は撤廃された。

http://www.itmedia.co.jp/news/articles/1708/18/news072.html



2: 名無しさん@涙目です。 2017/08/20(日) 09:17:30.17 ID:jiB8FRH60.net
そんなにパスワード覚えれねーよ

89: 名無しさん@涙目です。 2017/08/20(日) 10:36:33.48 ID:zhgIw3RQ0.net
>>2
ほんとそれ

4: 名無しさん@涙目です。 2017/08/20(日) 09:19:17.52 ID:b8ICfuWX0.net
ガバガバじゃねーか



 【TCG好き必見】デュエマやウィクロスで有名なタカラトミーがDTCGに参戦!今始めると32パックプレゼント!





6: 名無しさん@涙目です。 2017/08/20(日) 09:20:19.04 ID:BLoJziaH0.net
>盗まれた可能性があるときだけでよい

わかれば苦労しない

145: 名無しさん@涙目です。 2017/08/20(日) 13:57:45.58 ID:ppwYf/B90.net
>>6
Facebookとか普段と違うPCでログインされたらメールくるじゃん

7: 名無しさん@涙目です。 2017/08/20(日) 09:21:51.43 ID:IrklsMxy0.net
マジで死んでくれ。
これに加えて過去5回使用したものは駄目、
文字数種類のルールなんかも追加で
何処かにPW書いとかないといけないっていう
本末転倒な運用になってるんだが。

10: 名無しさん@涙目です。 2017/08/20(日) 09:25:37.56 ID:45GqJVA20.net
人類がここまでアホだと想定できなかったんだろ

12: 名無しさん@涙目です。 2017/08/20(日) 09:27:14.49 ID:Uzux8FnO0.net
つまり1234で十分だったって事か

13: 名無しさん@涙目です。 2017/08/20(日) 09:27:17.82 ID:iRKK7HQf0.net
その気になられたら90日じゃ遅すぎるしめんどくささと釣り合ってない

14: 名無しさん@涙目です。 2017/08/20(日) 09:28:38.96 ID:IaTD36+g0.net
どうせ次回から自動的にログイン、時間がたって入力要求されたらパスワードを忘れたから再設定のコンボだし

22: 名無しさん@涙目です。 2017/08/20(日) 09:32:38.05 ID:bYKC54cx0.net
>>14
これだな

15: 名無しさん@涙目です。 2017/08/20(日) 09:28:58.27 ID:ntwEERbl0.net
パスワードなんてPCのメモ帳に書いとけばいいじゃん



覚えようとするからいけないんだろ

87: 名無しさん@涙目です。 2017/08/20(日) 10:28:54.94 ID:HhfgoBja0.net
>>15
パソコンのログインパスワードを忘れてメモ帳に辿り着けません(ガイジ

16: 名無しさん@涙目です。 2017/08/20(日) 09:29:36.90 ID:ggdfbJbd0.net
ヤフーメールは定期的にパスワード変えろってウザイ!
もうやめてくれるのかな

17: 名無しさん@涙目です。 2017/08/20(日) 09:30:06.13 ID:rWoA9Wr80.net
同じPCなのに
ログイン用
このシステム用
このシステム用
とかで通常6種類くらいのパスワーを使わされるんだわ
大文字と小文字もしっかり区別
パスワード記録するアプリは使用禁止w
手打ち以外入力不可能

ログインするとこでおじーちゃんがつまづくw
しかも3回間違えると30分ログイン不可能

業務が止まるw

25: 名無しさん@涙目です。 2017/08/20(日) 09:34:07.02 ID:ggdfbJbd0.net
>>17
機械でもあるなw
超敏感な安全装置つけて、オペレーターの安全守ろうとしたら、機械があまりにも止まるので
安全装置切って動かしてるとかw

設計した人が、何が重要か分かってない場合に多い

60: 名無しさん@涙目です。 2017/08/20(日) 10:12:39.66 ID:Po64FuML0.net
>>17
システム部門バカじゃねーの

19: 名無しさん@涙目です。 2017/08/20(日) 09:30:55.54 ID:m32TrrWA0.net
流出リスクよりも使用不能になるリスクの方が圧倒的に高いよな

20: 名無しさん@涙目です。 2017/08/20(日) 09:31:39.34 ID:9gqJiGTE0.net
そりゃそうだろ
漏れたらもうその時点でアウトだし
漏れてなかったら変更しても意味無いし

23: 名無しさん@涙目です。 2017/08/20(日) 09:33:44.27 ID:4ARUmh2a0.net
こういうのを管理する部門って社員の負荷を減らす努力ってのを全くしないよな
問題があったときに自分たちが追及されたくないから社員の仕事を増やしてでも設定・手順を厳しくする
公務員と一緒の無能集団

31: 名無しさん@涙目です。 2017/08/20(日) 09:43:39.53 ID:fZ3sUi+30.net
>>23
ほんとこれ

32: 名無しさん@涙目です。 2017/08/20(日) 09:44:56.49 ID:P0m1494V0.net
>>23
日報とか業務報告とかくそ細かくてそれだけでどんだけこっちは時間とられるんだと。
管理する側は楽になるだろうけどさ。うちの糞会社だ。

128: 名無しさん@涙目です。 2017/08/20(日) 11:52:08.92 ID:8pThmAF/0.net
>>23
IT統制として監査法人から追及されて仕方なくやらされてるんですよ
社員の負担減らそうとパスワード入力関連のシステム改変提案しても費用対効果だ何だ言われて上から却下されるし
監査法人や管理部長と戦ってかなり社員の負担減らすことに成功してそれでも仕方なく残った統制手順に文句言われるんじゃやってられんわ

26: 名無しさん@涙目です。 2017/08/20(日) 09:34:51.11 ID:D/dEPYxd0.net
そりゃそうだ

27: 名無しさん@涙目です。 2017/08/20(日) 09:38:57.38 ID:UbNI/jbt0.net
顔認証とか指紋認証とかできないの?
あと数十秒で数字変わるスマホアプリのあれあるじゃん?

30: 名無しさん@涙目です。 2017/08/20(日) 09:43:22.14 ID:D/dEPYxd0.net
>>27
指紋は読み取り部分が直ぐダメになってメンテ高い 静脈も同じ
顔認証は光源の変化に弱すぎる

51: 名無しさん@涙目です。 2017/08/20(日) 10:03:08.75 ID:UbNI/jbt0.net
>>30
そうなんだ
顔認証は精度半端ねーみたいなのたまにテレビでやってるけど色々条件揃わないとだめなんだな

56: 名無しさん@涙目です。 2017/08/20(日) 10:06:42.28 ID:D/dEPYxd0.net
>>51
一時期タバコの自販機に顔認証付いたけどしかめっ面して眉間にシワ寄せりゃ中学生でも買えたからすぐ無くなった

28: 名無しさん@涙目です。 2017/08/20(日) 09:40:09.68 ID:mMsH9+xB0.net
生体認証なかなか普及しないよね

35: 名無しさん@涙目です。 2017/08/20(日) 09:47:16.70 ID:qKnt+OJf0.net
休み明けにパス忘れるやつ

36: 名無しさん@涙目です。 2017/08/20(日) 09:51:18.17 ID:CJg4y9ct0.net
これほんとめんどくさくてクソだわ
こいつが奪った時間を全ての人で累積したらえらい損害だと思う

40: 名無しさん@涙目です。 2017/08/20(日) 09:53:51.73 ID:ItgNmNzh0.net
規格にパスワードの定期変更は愚策で直ちに止めるべきとしっかり書いとけよ

43: 名無しさん@涙目です。 2017/08/20(日) 09:56:49.86 ID:V3lQMEQx0.net
facebookもtwitterもgoogleアカウントもamazonも
2段階認証に対応している

50: 名無しさん@涙目です。 2017/08/20(日) 10:02:02.59 ID:zUGp2NB/0.net
まだまだコンピューターは人間の悪意に追いついていませんなあ

53: 名無しさん@涙目です。 2017/08/20(日) 10:03:44.36 ID:R0W0vbsI0.net
ランダム文字列にしといて画面に付箋紙のほうが
推測されやすい文字列よりも安全だと思うよ

部屋のセキュリティで保護すればいいわけだし

55: 名無しさん@涙目です。 2017/08/20(日) 10:06:08.41 ID:TvkxrL970.net
旧パスワードから一つ隣のキーにすればOK

58: 名無しさん@涙目です。 2017/08/20(日) 10:10:24.37 ID:ZJx+667t0.net
ひらがなでパスワード作らせろ

65: 名無しさん@涙目です。 2017/08/20(日) 10:14:54.37 ID:H90l88R60.net
これ前も記事になってたけど中々浸透しないな
いまだにパスかえろどうこうってあちこちでうるさい

66: 名無しさん@涙目です。 2017/08/20(日) 10:14:54.77 ID:OkdQpsGX0.net
そんなに何度も変えてたらそのうち重複するだろ

69: 名無しさん@涙目です。 2017/08/20(日) 10:17:07.10 ID:ejER2zjs0.net
くっそ迷惑
しかも過去に使ったパスワード使えませんとかもうね

71: 名無しさん@涙目です。 2017/08/20(日) 10:17:19.01 ID:rWoA9Wr80.net
あとあったのは
夏休み明けで出てきたらパスワードが変更されてて
なんかあったらしくて緊急で変更
それをメールでお知らせ^^
そのメール、パスワード変わってるからPCにログイン出来ないから、開けねーだろw
っていう おバカぶり・・・

78: 名無しさん@涙目です。 2017/08/20(日) 10:24:09.33 ID:OkdQpsGX0.net
なにやっても流出されたら意味無いからな

84: 名無しさん@涙目です。 2017/08/20(日) 10:27:17.07 ID:DVImQRJR0.net
財産を全員で共有したらパスワードなんて必要なくなるよ
お願いします

88: 名無しさん@涙目です。 2017/08/20(日) 10:33:55.16 ID:nPdu/BoY0.net
システム部門で働く人間が心しないといけないのは
会社にどのように貢献するか

システム部門というのは基本金を儲けない
社内を合理化にすることにより仕事の時間や手間を減らすことで、
コストダウンを図り利益を多くする部署

そこら辺理解してないやつが多すぎ

92: 名無しさん@涙目です。 2017/08/20(日) 10:39:52.39 ID:jbm4mSlc0.net
数字や大文字小文字の強制がマジでウザい

94: 名無しさん@涙目です。 2017/08/20(日) 10:45:35.95 ID:m+BUn6So0.net
大文字小文字数字アルファベット混在を要求するなら漢字でパスワード設定させろ無能

95: 名無しさん@涙目です。 2017/08/20(日) 10:47:40.06 ID:EKL4dp9e0.net
自分の職場はセキュリティやコンプライアンスがうるさくて各自PCログインパスハードの設定が義務づかれている
ただパスワードを忘れてしまうためポストイットにパスワードを書きとめノートPCの後ろに貼り付けてある。

98: 名無しさん@涙目です。 2017/08/20(日) 10:54:57.02 ID:OAsBSsIY0.net
社内パソコンのパスワード定期的に変えるのは
全く意味ないよなあ

100: 名無しさん@涙目です。 2017/08/20(日) 10:55:53.07 ID:pQWSbvk+0.net
パスワード変える時が盗む方のチャンスなのになんでその回数を増やすのかと。

103: 名無しさん@涙目です。 2017/08/20(日) 11:01:32.37 ID:Pt8I6KLz0.net
>大文字、小文字、数字、記号を混在させる

これまじむかつく
俺しか知らない法則に則ってパスワード作ってるから、絶対忘れることもないのに
これのせいで例外ができる

106: ボックス 2017/08/20(日) 11:07:23.35 .net
>>103
>大文字、小文字、数字、記号を混在させる
これで8文字のパスワード作っといて、それベースにすれば良いじゃん

例えば
1234#abC をベースにして
記号が使えない時は
1234sabC とか 1234iabC
数字4文字なら 1234

ただ、数字6文字とかのクソシステムのとき困るけどw

107: 名無しさん@涙目です。 2017/08/20(日) 11:09:45.59 ID:0V6uIa810.net
>>103
ちなみに業界最大手のGoogleやAmazonはいまだに数字だけでOKだ
漏れる時は一斉に漏れるんだからパスワードの質は関係ないよな〜(泣)

116: 名無しさん@涙目です。 2017/08/20(日) 11:25:29.22 ID:D9LwRlWZ0.net
>>107
数字だけは簡単に推測できるんだよ

108: 名無しさん@涙目です。 2017/08/20(日) 11:10:51.19 ID:m73MDuQ20.net
手荒れが酷いので指紋認証が使えない。
何かの病気なのだろうけど、定期的に指先がダメになるので。

110: 名無しさん@涙目です。 2017/08/20(日) 11:15:19.98 ID:fI3pDBQ00.net
自分の中で法則性持たせても限界あって全部暗記出来るわけねえんだからせめて入力欄のそばに
パスワードのルール載せとけよ
ここのは大文字入れなきゃいけないんだっけ?記号入れなきゃいけないんだっけ?数字のみだっけ?
って迷うわ

119: 名無しさん@涙目です。 2017/08/20(日) 11:30:08.96 ID:RVnOePDu0.net
登録したらメールで設定したパスワードを送ってくるアホなサイトはパスワードの暗号化すらしていない
パスワードは一部でも使いまわしをするべきじゃないな

121: 名無しさん@涙目です。 2017/08/20(日) 11:41:13.59 ID:n/eLV/9N0.net
うちの会社がこのルール運用してる。アホくさいけど90日で一旦変えて、すぐに戻してる。

124: 名無しさん@涙目です。 2017/08/20(日) 11:44:39.88 ID:wZ3fOd130.net
>>121
ウチは一回使ったパスワードをチェックしており使い回せない。
スマホにメモる人多し。

133: 名無しさん@涙目です。 2017/08/20(日) 12:06:20.90 ID:XaPJm1j50.net
こんなんしても本気出されたらすぐ解析されるだろ

139: 名無しさん@涙目です。 2017/08/20(日) 12:29:27.93 ID:NKHQrgou0.net
ATMの4桁の暗証番号も思い出せないときがあるからな
以前、3回違えたら天井からタライが落ちてきたわ

141: 名無しさん@涙目です。 2017/08/20(日) 12:38:58.61 ID:Ascv1NiK0.net
会社のセキュリティ担当部門が仕事してるアピールするために強制してるよなこれ

142: 名無しさん@涙目です。 2017/08/20(日) 13:00:22.77 ID:X1XPsGvM0.net
記号、数字、アルファベットのコンビネーションを要求し、なおかつ字数制限あるサイトだと殺意を覚える。

143: 名無しさん@涙目です。 2017/08/20(日) 13:18:58.86 ID:QKaSYl220.net
マジもんに目をつけられて侵入されたらもう何を無駄なんじゃないか
パスワード変える画面も覗かれてたら意味ない

144: 名無しさん@涙目です。 2017/08/20(日) 13:23:36.86 ID:aDvpoZXR0.net
パスワードの役割はブルートフォースアタックに対抗することだけでしょ実際
そしたら解読に数百年とかそういうパスワードを設定すれば定期変更は無意味
どんな複雑なパスワードにしたところで通信が非暗号ならその複雑さも定期変更もこれまた無意味

ちなみにパスワードを別送することにも意味はない
そんなことよりメール送受信をちゃんと暗号化しろと

149: 名無しさん@涙目です。 2017/08/20(日) 14:53:03.70 ID:Z5uhsUtb0.net
漏れる時は根こそぎ漏れるし工夫しようとしたって無意味ってことだ
昔みたいにピンポイントで解析・侵入を試みていた頃なら防御手段として有効だったかもしれないけど

9: 名無しさん@涙目です。 2017/08/20(日) 09:24:34.49 ID:MofM0hzH0.net
覚えきれんて、

18: 名無しさん@涙目です。 2017/08/20(日) 09:30:48.50 ID:0wATq/nQ0.net
パスワードを忘れて入れなくなるな

41: 名無しさん@涙目です。 2017/08/20(日) 09:55:18.90 ID:85J6chNL0.net
これは思ってた
たまたまやつらが仕掛けてきたときに自動で突破できるまでトライされるだけだからな
突破されたままの状態や奇跡的にハック中じゃないと変える意味なんてないよな



 【ゲーム好き必見】SRPGやロボット好き必見!超本格戦略シミュレーションが登場





おすすめ 

引用元: http://hayabusa3.2ch.sc/test/read.cgi/news/1503188180/