パスワードは90日ごとに変更 ← 間違いだった [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」 - ITmedia NEWS
「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルール
は間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は
「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。
バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、
セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的にパ
スワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。
しかしこうしたルールは、現在では「間違い」という。
例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだ
け――というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。
NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。
「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアド
バイスだったという。
今年6月に冊子「800-63」は全面改訂(https://pages.nist.gov/800-63-3/)され、こうした“最悪のルール”
は撤廃された。
http://www.itmedia.co.jp/news/articles/1708/18/news072.html > 「大文字や小文字、数字、記号を組み合わせる」というルールも、
>混乱を招くだけで、的外れなアドバイスだったという。
ぐぎぎぎぎぎ パスワードを使いまわさず、かつ一定期間ごとに変更してたらパスワード管理しきれん 散々言われてるのに
今だにパス変えろ言ってくるサービス多くてうざい 先月:1qazxsw2
今月:2wsxcde3
来月:3edcvfr4 なんでもかんでもパスワード大杉なんだよ!
考えるだけで嫌になる。 銀行や証券ならまだしもポイントサイト・クーポンサイト如きでしつこくパス変えろって言われるとアプリ削除しちゃうw もうパスワード変更を求められすぎてわからなくなって捨ててしまったアカウントもある。
正直マイナーなサービス一つ一つまでそこまで覚えていられない 正直めんどくさいからもっと生体認証が普及してほしいわ スマホやPCにもPW管理アプリあるけど、PCスマホも突然壊れるからなぁ
俺はもうアナログにノートにしたよ。いつでも変更出来るよう1サイトに1ページ空けとく リネ1 hotmail それぞれ15年ぐらいパス変えたことないけど、ハックされたことないよ 管理しきれんし複数個を使い回してた
これで間違いではなかったんだな >>14
指紋認証は、指紋を情報を盗られた場合に変更が効かないから
アカンやろ そらそうだ
何で破られてないパスワード変えなきゃいけないんだよ 俺は好きなガンダムの名前や型番をパスワードにしてる 3つのパスワードを使いまわしてる
どれにしたか覚えてないけど
2回くらいなら間違えても大丈夫だから
本人にも分からないって最強じゃね? Twitterに登録した途端にメール乗っ取られたわ
なんか漏れるルートが有るね いや"どちらかちいえば"大文字小文字を混ぜたほうがいいでしょ
あるアカウントを狙い撃ちで総当りする場合に
総当りする側が「ひょっとしたらどちらか片方かもしれないから」とアルゴリズムを工夫してれば早く見つけられてしまう 何も言ってこないサイトは乱数で16桁作るけど
変えなきゃだめなとこは定番のやつだわ 銀行の暗証がいまだに単純な4桁なのはシステムの都合か?
いい加減網膜認証とかを金持ち向けにでも導入しろよ ベースとなる覚えやすい共通パスワをまず作り
あとはそれぞれのサービスの名称の頭文字などを
頭や尻に追加して変化を持たせる 今はスマホのカメラも高性能なもんだから
指紋とか虹彩は写真で突破できちゃうんだよな >>30
よく使わないサイトまでそれでやっていると
わからなくなって、あらゆるパターンを試してしまうな
それを記録されていたとしたら
他のサイトでの、パスワードパターンがバレてしまうと思ってしまうわ 銀行のログイン画面に定期的に変えろと出てくるのは逆効果なんだな うちの会社もどうにかしろよ
アプリ毎にパスとID設定するとかマジで糞だろ mixiとかニコニコとか幾つかあったが全て忘れたわ ・2段階認証が使えるサイトは必ず設定する
・SNS認証が使えるサイトはSNS認証を使う
・パスワード管理ソフト(クラウド含む)を使う
・パスワードDBをローカルに置く場合はディスクごと暗号化しておく
・パスワード生成はジェネレータを使いサービスが許す限り強いものを使う
これぐらいの対策はしておこう 記号が使えなかったり逆に混ぜなきゃいけなかったりするのやめろ >>7
来月なんとなくわかるけど、キーボードが手元にないからわからん。 あまり使わないサービスは、
メールでパスワード再発行してる そんな頻繁に変えたら覚えられない。
俺は一度も変えたことがない。 もう覚えんの面倒だからkeypass使ってるわ
パスファイルとマスターキー盗まれたら全アボンだけど 考えるまでもなく当たり前のこと
どこまで馬鹿なの? 共通キーワード(英文字4〜5文字)+サービスごとの付加ワード(英文字or数字、必要な強度を出せるだけ)
共通キーワードは全部共通なので、頭の中に入れておく。
サービスごとの付加ワードは紙にメモしたりPC上で保管しても大丈夫。流出してもそれだけじゃパスは破られない 人間のインターフェースの部分をいくら複雑にしても機械が読み取るのは普通に2進法のオンオフだけでないの? 毎回、パスワードを忘れた。をクリックして再発行してるわ ヤフーのアドに中国からログインされたことがあったわ 日本語をローマ字読みや和暦にする
8から15桁くらいの短いパスワードを五つくらい用意する
うち三つを組み合わせて使う
tigermask + 19810423 + newjapan
じゃなくて
taiga-masuku + syouwa56nenn4gatsu23nichi + shinnnihonn
桁長くなるし日本語堪能でないと推察は難しいと思うし、日本人オーナーなら覚えやすい上に記号も入れやすい
難点はタイプミスw 紙に書いていたけど検索できないし、どうせ完全な方法じゃないしやめた なんとか市場の出店者のパスワードは2週間毎くらいに変更させられるらしい ドトールコーヒーは悪の結社、創価学会の
一員だ
集団ストーカーを行なってる
エクセルシオールカフェ赤羽東口店(現在ドトールグループ サンメリー赤羽店)閉店は証拠隠滅
ドトールも創価も法的措置を取らないのは
事実だからです
当時のドトールコーヒー社長 17年4月左遷サンメリー社長へ
とうきょうときたくあかばねは
そうかのまち
「平和があるように」と挨拶しなさい。
(新約聖書『マタイによる福音書』10章12節から) マイ乱数列を作って、開始点と長さだけ覚えておけばよいのはどうか。 変えなきゃいかん奴は魚介シリーズとか世界の城とかやってたっけ あなたの初恋の相手の名前は?
あなたのペットの名前は?
あなたの母親の旧姓は? 変更さすなとは言わんが2回前に使ったパスくらい使えるようにしてくれないと無理やりパス作って忘れる >>24
「過去に使用したパスワードは使用できません」 平仮名と漢字を使うようにしろって誰かが書いてた。
素晴らしいアイデアだと思う。 大抵の企業ってこれだよな
うちも複数のシステム導入しててすべてこのルールでそれぞれ重複パスワード禁止の90日ごと変更
で、10回前までの同じパスワード禁止
パスワードを書いて控えておくのは禁止
シネよクソ無能SE 撤廃されたけど多くのサイトで今だに頻繁なパス変更要求されるよね
責任とって死んでくれ ドラクエみたいに復活の呪文にすれば良いんだよな
BGMはもちろん牧野アンナでw >>63
使い回すっていう書き方が悪かったな
パスワード登録する時に3つのパスワードの
どれかを使うという意味
定期的にパスワード変更を強いてくるような
トコは人力ワンタイムパスワードだわ パスワード入力三回までのサイトあるからメモしとかないとまずいんだよ パスワードよりサイトIDを変な文字列から
変えられないところがいまだにあるのがアホ
結局ブラウザに記憶させるから意味なし 16ケタくらいの強固な暗号を使い続けるのが一番いい
もちろんメモするなんて論外な 1 ID
2 パスワード←これ省いていいだろ
3 ワンタイムパスワード そのとおり
今月の職場のパスは、passwd08だわ オレのパスは直ぐに破れる
syncsyncshutdown ケツのアルファベットだa→b→c→d→って変えればいいじゃん
俺はこれで15年くらいやってるよ
そんなpassword変更に意味があるのかと聞かれればそれは知らん
社内のシステム部署の奴らが心配すればいい
まあ何かあってもシステム部署の立場は3か月毎にpassword変更させてましたってアリバイあればいいんだろどうせ そういやGoogle Authenticator使ってるとこが2つあるな
>>77
なんだよ、この [ニダ]って
気分悪いな クビからぶら下げてるカードにチップ入っとるんやし
コレを読み取らせればええと思うが
情シスさんはやってくれない 基本使い回しだけど二段階認証を採用してないサイトはパスを変えてる 安全の貯めにころころと複雑なパスに変えているとあれっ?どれだっかかなまあ良いかでログインしなくなる keypassでくそ長いパスワードにしてる
もう覚えない そこらへんに転がってる機械の型番使ってる
もちろん覚えられないから「何の型番か」をメモしてる 当たり前だ
ただでさえパスワードを要求してくるサービスが多いのに
定期的にパスワードを変えるなんて似たようなものになるに決まってるし
自動生成なんてしようものなら管理ソフトがないと覚えきれるわけがない
だからパスワード変更は変えないといけない状況が発生したときのみで
定期的に変えろって案内が来ても一切無視してる >>88
アホな業務用システムだと期限切れたら変更しないと一切ログオンできない仕掛けになってたり >>65
うちもそんなルールだけど
重複禁止回数分のパスワード変更を一気にやって同じパスワードを継続使用してる 暗号強度が問題であって破られていないパスワードを面倒になって強度が弱い忘れにくいものにしてたら本末転倒
更に、定期的に変更する要請を逆手に取ったフィッシング詐欺も横行して最悪だった >>89
それは「変えないといけない状況」になるんじゃね パスワードの入力規則も一律にしてほしい
最低文字数、大文字小文字を混ぜる、記号を入れるのが必須だったり違ったりで把握しきれん
しかもそれがわかるのが登録時のみで入力時はノーヒントとかやめてくれよ >>82
そいつを盗まれるだけで侵入されるようなシステムにはしないと思うよ 実際そうやってるよね…ウチのポリシーいつ変わるかな 個人のはともかく、管理者用の共通パスワードは定期的に変えた方がいいよ
情シス経験者みーんな知ってるって状況になるしw ベースとなるワードを3,4種類作ってそこに適当な数字ぶっ混んでるわw
パターン化してるから覚えるのも楽だし管理しやすいぞww
企業がリークさせた時位しかパスワード変更するメリットないと思う 個人利用で定期的なパス変更やる意味なんて全く無いからな
ただメルアドをIDにしてるサービスでパスを使いまわすのだけはやめた方がいい
末尾に数字を連番で足すとかでいいから共通パスを避けるべき
会社で盗み見されたり複数人でパスを共有するような環境では話が別
最低でも担当者が変わったら絶対に変えろ おい!FC2!オメーだよボケ!
しかも最近使った似たのもダメとか頭わりーだろ!!これすぐやめろ! 消し去りたい過去の15年以上前のブログのパスを忘れた
痛々しいブログが未だネットで見れると思うと震える 糞みたいにパスワード変更を要求されるサイトがあるんだよなあ >>107
日本語パスワードあってもいいよな、なんでないんだろ メールアドレスの入力を2回要求して
しかも1回はコピペ出来ないとかもマジで糞だわ
コピペの方がどう考えても正確だろ 0 全角数字
O 英字大文字
↑
これって区別不能だろ
メモ帳にコピーして変格する以外 Appleのアカウント大昔ので今だと基準から外れて設定できない文字列だから最強だと信じてる オムニセブンだったかセブン系列の通販サイトが糞だったな
同じ文字列を続けると警告されて使えないって仕様
それ単に文字の選択肢狭めて解読しやすくさせてるだけだし パスワード変えろメールが暗号化されてないザル企業しかない日本 会社と私生活もパスワードだらけ。
会社のパソコンは3ヶ月で更新しろと強制されるから、西暦+番号送りだわ。
私生活は極力同じパスワードだけど、文字数制限とかで同じにできないのもあって、紙に残さざるえない パスワードなんて変えねーよ
誰が興味あって盗むんだよw サイトそれぞれで違うパスワード設定してメモ用紙にも残すなってTVで言ってた自称専門家がいたけど、サヴァン症候群の人しか無理やん 英数記号8ケタくらいなら一週間も使ってれば手が覚える
それを組み合わせれば24ケタの記憶くらいは余裕
それでも
>115がいうようにクソな文字数種別制限で使えない事が多いし
2chみたいに暗号化せずにパスワードを保存するアホサイトもあるから
完璧になりえない うちの会社、システム毎に別垢で、トータル10垢以上、メイン垢に関してはパス毎月1回かえさせられるし、文字列10文字以上、英数字大文字小文字記号必須、前回との類似性チェックとか、きちがい仕様やで。。
こんなバカ仕様やめてワンタイム型の2FA認証に切り替えりゃいいのに。余程安全で金かからんし 毎日のように使ってたはずのパスワードが急に思い出せなくなったのには流石に焦った… >>63
これさ、過去のパスワードをどこかに記録してるってことだよな
セキュリティ最弱だろ そもそも汎用機もパスワードの期限とかいうのを見直してくれ 俺の勤務先も情報担当者が頭固いから90日ルール適用させた結果
ソースどおり殆どのやつが「○◯01」「○◯02」とか番号つけて切り替えてるだけだからなあ
それか付箋ソフトにパス入力して画面上に添付しておいて入力時にコピペとか >>65
8文字以上、30日以内、過去100回禁止
末尾2文字変えるだけなのにパスワードメモがたいへんなことに。 社内システムで複数アカウント作らせるのやめてくれ。 マイナーな日本語である利点をセキュリティに生かせばいいのに 前にも定期的なバスワード変更は簡単なパスワードになっていくって研究報告があったな
今一番意味不明だと思ってるのが
メールに添付ファイルをつけると自動的に暗号化Zipにして
パスワードを自動再送信するシステムだな 色んな所のIDとパスワードを全部紙に書いてある
その紙を盗まれたら全滅 当たり前だよなあ。
基本を固定して、バリエーションとして単純にインクリメントしたり文字をシフトしたりなら、
そんなもん誤差でしかない。
数を1つずらすか、文字を0x20ずらすかとかで、逆に解りやすいわ。 思いついた文章をそのままパスワードにしてる
長めのパスでも打ち込むとき楽でいい >>1はアホすぎる。社会の現実を無視して理屈だけで考える完全な理系脳w
一般人はそんな面倒なことは頻繁にやらないというのが世間の常識。
〜すべき。〜したら安全。なんて考えは理屈上の話で実際人間は面倒なことはやらない。
例えば、「大小文字、数字、記号を組み合わせた20文字以上のパスワードとし、毎日変更する
のが安全」と言っても、誰もそんなルールは守りませんw >>134
一回爺メールで割られそうになった件のお知らせが出たわ、ログインがめんどくさくなってた パスワードを保存しますか?
で保存してない奴なんているの? >>1
私が考えました
みたいな事が言いたいのか
うちの会社は過去の類似パスワードに変更はできないから、こんなことはないけど忘れる事が多発している。
あと、8桁以上のルールならいいけど、8桁固定とか6桁固定とかやめてほしい 1月 a0000000
2月 b0000000
3月 c0000000
4月 会社側が決めるようになった 紙の手帳の住所録のリフィルにサイト名・ID・passをアナログバックアップしてるから
そうそう頻繁に変更してると書ききれないよ パスワードジェネレーターで
HEX32文字で暗号強度130ビットあるからこれでいい
辞書攻撃はほぼ無効にできるしな 職場のやつは60日毎に変更しなきゃならん
しかも以前のやつが使えないから覚えるのがキツイわ >>146
多くの会社がそんな事に仕事の労力使ってるってホント効率悪くてアホらしいなw 1.パスワード変更する
2.パスワードどれかわからなくなる。
3.パスワード再発行してもらう
の繰り返しの後、使わなくなる。 iPhoneのアプリでいちいちパスワード要求するのがあるけど何のための指紋認証なんだ。
こんなちっちゃい画面でちまちま打ってられん。
もういい!ってやめちまう。 1番楽な暗号化されていないZIPのパスワードでも、大小文字+数字+記号の場合、8桁なら
解析に2週間程、10桁なら300年以上かかるらしいので、個人で使用しているPCで毎日
シャットダウンしてるなら、頻繁にパスワードなんて変更する必要はないと思いますね。 パスワード更新頻度もさることながら意味不明なのが、最近はメールに添付ファイル付ける場合、
・メアドのセキュリティ登録が必要
・添付ファイルの暗号化とパスワード
パスワードはメール文のなかに記載する
やりすぎだ馬鹿 >>146
固定4文字+YYMM あるいは固定4文字+連番
こんなもんじゃねーの? >>152
パスワードをメールに記載したら危険じゃないの? 場所毎に凝ったパスワード作って結局おもいだせねえとか
どっかにメモするとか本末転倒も良い所だったもんな jeUgrb28$kPc
でも
1234
でも結局いっしょ
ほんとのプロに狙われたら最後には破られる >>150
似ているパスワードは使用できません
つーのがあったけど、判定できんの? >>7
シフト押しながら下がって、シフト押さないで上がる、とかにしてるな >>154
そう思うよね。
そういうシステムになっちゃってるんだけど。
そのパスワードも結局、社名とかpassword のかだから手間ばかり増える 頭悪い記事だな
変更の際、旧パスワードに類似文字列を禁止すればよいだけ。 パスワードなんて物があるからダメなんだ
全ての情報、資産、思想は人類で共有すべき >>157
記号や数字でワードを区切って計算するとかで出来そう
まあ全てが同じハッシュ使ってるとは限らないし一概には言えん 大文字小文字英数でなんで記号がダメな場合と有効な場合あるんだよ
有効にしろやくそが 新しいパスワードが必要なときはオレの個人情報とは全く無関係に文字種と長さを指定して自動生成してるな
で一度決めたら漏れた可能性がない限り絶対に変えない。パスワード変更時に掠め取るウイルスあるからかえって危険 艦これもIDとパスワード乗っ取られるし 毎日変更しないとだけだろ >>26
二ヶ月前は
hide-loves-yuki-forever
先月は
yuki-loves-hide-forever
今月は
hide-loves-mika-forever
にしたわ >>152
大昔は添付ファイルをパス付きにしてたけど、
最近は送受信側はどうせどちらもsshだろって思って、何もしてないなぁ >>156
総当たりでやるなら上のは時間かかるだろ watashino-ohakano-maede-dontcry >>108
マルチバイト文字のなかにたまたま含まれてるシングルバイト文字と同じコードが誤認まねいたりするかとがあるらしい 1passwordとかの自動生成のアプリ使って管理してる人って
ブラウザでの入力は困らないけど
iPhoneアプリでの入力とかは どうしてるの?
覚えてないから困るじゃん 古いパスワード Pa55word!1
新しいパスワード Pa55word!2
新しいパスワードをもう一度入力 Pa55word!2
一つ前のパスワードと似ているため使えません。
舐めてんのかボケが。
変更日付制限と文字列制限かけてるパスはこの世から無くせよ。
面倒くさすぎるわ。 あと英数字記号は全部好きに使えるよう統一しろや!
英字大文字小文字数字記号一文字以上必須、記号は使える使えないとか
場所ごとにコロコロ変えてんじゃねーよハゲーー! 頻繁に変える為にアクセスする行為そのものがログ取られるリスク >>39
大文字記号数字必須とか大文字入力記号不可とか仕様がそれぞれ違ってクソなんだわ 適当にランダムで記号と数字混ぜたパスワードにして、紙にメモしておく 固定の文字・数字列にそれぞれのサイトのローマ字読みの頭四つを足せば忘れない >>117
上の方でも書いてあるけど基本パスワードを決めてそれにサイトの名前とか足していけばいい
基本がyamadaでAmazonで使うならAmazonyamadaとか
ヨドバシならyodobashiyamadaとか >>63
これほんとやめて欲しい
ってか過去のパスワード保存してんじゃねーぞボケ 好きな歌の歌詞を使ってPWを3種類くらい作っておけばよさそうです。
例えば、aitakute aitakute hurueru 〜だったらaah〜NKとかね。
それに、固定の数字や記号を加えて10桁くらいにしておけば、忘れることはないでしょうし、
PWを解析されることもないでしょう。 >>10
そのソフトのパスワードをどう管理するか・・・ >>187
そのソフトのパスワードを管理するソフトを準備すればええやん なるほど最後の数字だけ変えるのか・・・俺は逆にこれなら受け入れられるかなって感じ
替えて損は無いわけだし >>188
そのソフトのパスワードをどう管理するか・・・ 誰がお前らごときの秘密情報を見たいんだよ?
自意識過剰だろ 早くこれを世の中に周知してパスワードの定期変更を促すサービスを撲滅させろ
銀行とかしつこすぎんよ
Win鯖のパスワードポリシーも基本これだし >>27
早く見つけられるかもだけど、数秒程度の違いじゃね? どうせケツの数字が1つずつ上がっていくだけなんだから意味ないわ >>154
ホントはね、別の手段でパスワードを通知する必要がある。
パスワードでロックしたファイルをメールで送ったなら、
パスワードの内容は 別のルート、電話やらファックスやら電報やら郵便やら 違う方法で伝えなきゃ、相手の確認が出来てない。 パソコンの画面の周りに付箋で貼る、変えたら張り替えしてたけど
面倒になって変えなくなったわ 有料エロサイトにログインするときだけ
変なパスワードにしてるせいで
再ログインできなくなる件 パスワードを何日置きに変えようとも、変えたその日にパスワードを抜き取られたら意味なくない? 20年前に初めて契約したプロバイダのパスワードを全てに流用し続けてる
英数混在8文字だから128bit強度、これで十分やろ
もう完全に覚えちゃってるし多分死ぬまでこのままだわ いつも12桁くらいのパスワードを使いまわしてると
たまに6桁とか8桁で入力しろとか言われた時に
わけわからなくなるよな ■ このスレッドは過去ログ倉庫に格納されています