研究者「パスワードは90日ごとに変更しろ!」 → 世界で定着 → 研究者「ごめん、意味なかった」 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」
「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは
間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は
「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。
バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、
セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的に
パスワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。
しかしこうしたルールは、現在では「間違い」という。
例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――
というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、
パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。
「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。
今年6月に冊子「800-63」は全面改訂され、こうした“最悪のルール”は撤廃された。
http://www.itmedia.co.jp/news/articles/1708/18/news072.html Googleからのお知らせ
あなたのアカウントに不正アクセスの疑いと見られる操作が確認された為
該当ドメインのアクセスを遮断致しました
不正アクセスの発信元 中国福建省 >盗まれた可能性があるときだけでよい
わかれば苦労しない マジで死んでくれ。
これに加えて過去5回使用したものは駄目、
文字数種類のルールなんかも追加で
何処かにPW書いとかないといけないっていう
本末転倒な運用になってるんだが。 >>2
そうそうw
覚えるの不可能なランダムのを 会社のだと使わされるしw
しかもそれをお知らせするメールを間違えてやがってw
0とO ゼロとオー なw
見てもわかんねーだろ?
こういう感じで間違えてて、ログイン出来ね―よw で殺到する始末 だったらしい
おじーちゃんは何度言っても、付箋紙に書いてモニターに貼るw
上司だと言いにくいしー で放置だ
そもそも一番上のおじーちゃんが付箋で貼ってるからな^^ その気になられたら90日じゃ遅すぎるしめんどくささと釣り合ってない どうせ次回から自動的にログイン、時間がたって入力要求されたらパスワードを忘れたから再設定のコンボだし パスワードなんてPCのメモ帳に書いとけばいいじゃん
覚えようとするからいけないんだろ ヤフーメールは定期的にパスワード変えろってウザイ!
もうやめてくれるのかな 同じPCなのに
ログイン用
このシステム用
このシステム用
とかで通常6種類くらいのパスワーを使わされるんだわ
大文字と小文字もしっかり区別
パスワード記録するアプリは使用禁止w
手打ち以外入力不可能
ログインするとこでおじーちゃんがつまづくw
しかも3回間違えると30分ログイン不可能
業務が止まるw 流出リスクよりも使用不能になるリスクの方が圧倒的に高いよな そりゃそうだろ
漏れたらもうその時点でアウトだし
漏れてなかったら変更しても意味無いし こういうのを管理する部門って社員の負荷を減らす努力ってのを全くしないよな
問題があったときに自分たちが追及されたくないから社員の仕事を増やしてでも設定・手順を厳しくする
公務員と一緒の無能集団 確実に解析困難なパスワードを作るなら多面サイコロを振る >>17
機械でもあるなw
超敏感な安全装置つけて、オペレーターの安全守ろうとしたら、機械があまりにも止まるので
安全装置切って動かしてるとかw
設計した人が、何が重要か分かってない場合に多い 顔認証とか指紋認証とかできないの?
あと数十秒で数字変わるスマホアプリのあれあるじゃん? ネットバンキングみたいなとこならその都度発行されるメール通知パスワードの併用で十分セキュアだろうし
メールのパスワードは完全ランダム文字列で数か月おきに桁を増やしていく
どうでもいいサイトなら一回作ってそのまま >>27
指紋は読み取り部分が直ぐダメになってメンテ高い 静脈も同じ
顔認証は光源の変化に弱すぎる >>23
日報とか業務報告とかくそ細かくてそれだけでどんだけこっちは時間とられるんだと。
管理する側は楽になるだろうけどさ。うちの糞会社だ。 数字アルファベットの混在はまだ許せるけど
こないだ大文字小文字の混在も要求してくるのあってブチ切れたわ
絶対忘れる自信ある >>33
しかも数字何文字以上使用しろだと
大文字と小文字をそれぞれ何文字以上入れろだの
同じ数字使うなとか同じアルファベット使うなとか
うっせー っつうのw
まだランダムであっちからこれ使え 言われる方がマシ これほんとめんどくさくてクソだわ
こいつが奪った時間を全ての人で累積したらえらい損害だと思う 0とかoとか人間が手打ちで間違えるだけでツールでやられたらザルだぞ 変えなきゃ使用停止って事にはならんから無視してるわ。
そもそも容易に破られるパス設定してる輩は
例のように同レベルの単純な物に変更かちょい変えしかしないし。
今じゃbot対策のログイン形式になったりでさらに面倒になってる。 何でツーロックって廃れたんだろ 簡単なパスでも複雑なワンロックより強硬なのに 規格にパスワードの定期変更は愚策で直ちに止めるべきとしっかり書いとけよ これは思ってた
たまたまやつらが仕掛けてきたときに自動で突破できるまでトライされるだけだからな
突破されたままの状態や奇跡的にハック中じゃないと変える意味なんてないよな パスワード変更を定期的にしてないシステムは
自動的にログイン出来なくなります^^
長期出張とかでアウトに
夏休み明けで入れない^^
ログイン出来ない の問い合わせ殺到 でパンク^^ facebookもtwitterもgoogleアカウントもamazonも
2段階認証に対応している 頻繁にパスワード変えろと言ってくるから、
結局は単純なパスワード、前回から少しだけ変えたパスワード、メモ書きを残すのいずれか、または全部をする事になる
そりゃ却ってセキュリティはザルになりますよ 仕事のは毎回ランダム生成で16文字にしてる
でもスマホだと入力面倒すぎる abcde123sitea
を
bcdea234siteb
cdeab345sitec
deabc456sited
のように
アナグラム+連番+サイト固有
みたいな形にすると忘れないよ 日本語をパスワードに使えばいいんだよ。
ひらがなカタカナ漢字の組み合わせ、ひらがなカタカナはそれぞれ50種類、漢字は1000種類あります。
破れるまでアタックするだけで何日もかかるんじゃね? まだまだコンピューターは人間の悪意に追いついていませんなあ >>30
そうなんだ
顔認証は精度半端ねーみたいなのたまにテレビでやってるけど色々条件揃わないとだめなんだな >>1
いや、今時は前のパスワードから数文字変えないとNGになるようになっとるやろ。 ランダム文字列にしといて画面に付箋紙のほうが
推測されやすい文字列よりも安全だと思うよ
部屋のセキュリティで保護すればいいわけだし >>49
ブラウザの文字コードが変わってるのに気付かなくて泣く未来が見える >>51
一時期タバコの自販機に顔認証付いたけどしかめっ面して眉間にシワ寄せりゃ中学生でも買えたからすぐ無くなった >>56
逆に40過ぎたおっさんがはねられて買えない が実際にあったからなw
俺、そんなに若くみえるかなぁ
俺、部長に見えないのかなぁ・・・
っと真顔で精神科で相談してる始末・・・
哀れ・・・ >>58
意外とというか
外国のハッカー対策ならいいのかもw
英数字禁止にしたりしてw パスワード破られてなんかの被害に合うなんて事ネット歴18年にして一度もない
2chの旧運営のクレカの扱いのような事されたらどうにもならないけど >>49
こ言うアホな主張はどうして出てくるんだろう >>2
今月の3、今月3
今月の○(英数字)
今月の二、今月の三
今日の10、今日10、経典、教授
今日の13、今日13
今日の15、今日15
今日の2、今日2
今日の3、今日3
今日の4、今日4、教師、先生、teacher、狂死
今日の5、今日5
今日の6、今日6
今日の7、今日7
今日の8、今日8
今日の8の逆
今日の9、今日9
今日の月/日 (月と日の間に半角スラッシュを入れる)
今日の三
今日の四
今日の二
今日の日付
今日の年/月/日(曜日)
今日の年月日
今日の年月日
今日の年月日(曜日)
昨日の4、機能止
昨日の9、昨日9
基本 >>61
個人情報が漏れると
ニュースで報道されて
大騒ぎになる らしいよ
メアドがbccをccで送ったー で大騒ぎだから これ前も記事になってたけど中々浸透しないな
いまだにパスかえろどうこうってあちこちでうるさい >>23
うちの会社かよw
人事部とか総務部とか仕事の出来ない無能を押し込めておく部署何とかならないのかなぁ
クビにも出来ないだろうし 入力した後パズルみたいに埋めるやつもあるけど
意味あんの? くっそ迷惑
しかも過去に使ったパスワード使えませんとかもうね >>3
宣伝してるけど流行らねーよ
そんなだれでも作れるようなもん
ニートは死んでね あとあったのは
夏休み明けで出てきたらパスワードが変更されてて
なんかあったらしくて緊急で変更
それをメールでお知らせ^^
そのメール、パスワード変わってるからPCにログイン出来ないから、開けねーだろw
っていう おバカぶり・・・ >>62
あーやだヤダ。たとえ実際にアホでも他人のアイデアをアホと言っちゃうくっせー村社会。 90日毎に複雑なパスワード作るのはものすごい面倒だからな
作業を減らすため指紋認証でも導入したほうがマシ 確かに頻繁に変えるから分かりやすいパスワードにしちゃうんだよな >>72
まぁまぁ
日本語OSにすればセキュリティアップじゃね?
って真面目に提案出した人もいるらしいしw
それが出来れば苦労しねーよw っていうなぁ・・・
ドライバーからワード・エクセル他 メーラーから 全部自社開発するのかよw っていうなぁ あ、日本語OSというのは
トロンとか超漢字のことで^^; パスワード盗まれたら御仕舞いってのもなんとかならんのか?
クラウド無視で端末認証だけにすればいいのに 財産を全員で共有したらパスワードなんて必要なくなるよ
お願いします >>60
本当に馬鹿だと思うが
この手のルール少しでもゆるくしようとすると
IT部門の上の人間がやれセキュリティレベルがどうとか言い出してにっちもさっちもいかん >>15
パソコンのログインパスワードを忘れてメモ帳に辿り着けません(ガイジ システム部門で働く人間が心しないといけないのは
会社にどのように貢献するか
システム部門というのは基本金を儲けない
社内を合理化にすることにより仕事の時間や手間を減らすことで、
コストダウンを図り利益を多くする部署
そこら辺理解してないやつが多すぎ >>15
宝箱の鍵を宝箱にしまうみたいな(´・ω・`) >>88
だってさー
国にとっては官僚機構がシステム部門に当たるけど、あいつら国が栄える事なんざ欠片も考えてねーじゃんw
民間人に余計な仕事ばかり押し付けて作業の「非」効率化を図り、民間企業が大儲けしてたら怒り狂って全力で潰しにくる
そりゃあ誰もシステム部門の役割なんて理解しないよ news newsoku nyuusoku sage age vip vipvip vipqiv vipper zip zipzip zipper 大文字小文字数字アルファベット混在を要求するなら漢字でパスワード設定させろ無能 自分の職場はセキュリティやコンプライアンスがうるさくて各自PCログインパスハードの設定が義務づかれている
ただパスワードを忘れてしまうためポストイットにパスワードを書きとめノートPCの後ろに貼り付けてある。 >>73
お前、ハゲの前でお前がハゲなのが悪いって言えんの?
>>81
なるほど、それはそうか。俺がアホな理由を煽り口調じゃなく説明してくれれば数行で納得できるというのに。 社内パソコンのパスワード定期的に変えるのは
全く意味ないよなあ 意味は無くないんだが、最近はこの流行りに流されてるよな
対案出さなくていーの?w パスワード変える時が盗む方のチャンスなのになんでその回数を増やすのかと。 >>93
俺がよく使ってたnewsoxとnewsokunも入れてくれ いつも使ってるスマホのパスワード管理アプリの権利元がいつの間にか米国から中国に変わってたわw
まぁ、端末レベルでスパイウェア仕込まれる可能性も有るから慌てても仕方ないが >大文字、小文字、数字、記号を混在させる
これまじむかつく
俺しか知らない法則に則ってパスワード作ってるから、絶対忘れることもないのに
これのせいで例外ができる >>96
生体認証にしろよ
何度も業務止まっても差し支えない会社なら好きにしたら良いよ >>49
マジレスするとローマ字で入力すればいいんじゃね >>103
>大文字、小文字、数字、記号を混在させる
これで8文字のパスワード作っといて、それベースにすれば良いじゃん
例えば
1234#abC をベースにして
記号が使えない時は
1234sabC とか 1234iabC
数字4文字なら 1234
ただ、数字6文字とかのクソシステムのとき困るけどw >>103
ちなみに業界最大手のGoogleやAmazonはいまだに数字だけでOKだ
漏れる時は一斉に漏れるんだからパスワードの質は関係ないよな〜(泣) 手荒れが酷いので指紋認証が使えない。
何かの病気なのだろうけど、定期的に指先がダメになるので。 意味ないと思って変えたことないよw
金融機関とかはワンタイムだしねw 自分の中で法則性持たせても限界あって全部暗記出来るわけねえんだからせめて入力欄のそばに
パスワードのルール載せとけよ
ここのは大文字入れなきゃいけないんだっけ?記号入れなきゃいけないんだっけ?数字のみだっけ?
って迷うわ もう静脈と網膜とか指紋とか複数でつかうのを定着させた方がいいんじゃない?
あと2段階認証と4桁パスワードくらいおまけで > 「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。
なんで? IDとパスワード集の手書きノート持ってるわw
その他にノートパッドでパソコンにファイル化してるし、USBメモリーにも保存してる
ほとんど同じか似てるかだけどw 90日で変更強要して
覚えきれないので
付箋や壁、机にPWを書く
↑より盗みやすくなる^^ 登録したらメールで設定したパスワードを送ってくるアホなサイトはパスワードの暗号化すらしていない
パスワードは一部でも使いまわしをするべきじゃないな >>23
作業を面倒にするとセキュリティが向上すると思ってる上に、社員に押し付ける工数はゼロだと勘違いしてるんだよな うちの会社がこのルール運用してる。アホくさいけど90日で一旦変えて、すぐに戻してる。 平仮名と片仮名の混在は海外からのアタックに強くなりそうだけど、実際に運用すると文字コードの扱いでシステムが死ぬんだろうな >>121
ウチは一回使ったパスワードをチェックしており使い回せない。
スマホにメモる人多し。 >>124
そのチェックがウチはないんだよね。意味ないっつーの。 >>23
IT統制として監査法人から追及されて仕方なくやらされてるんですよ
社員の負担減らそうとパスワード入力関連のシステム改変提案しても費用対効果だ何だ言われて上から却下されるし
監査法人や管理部長と戦ってかなり社員の負担減らすことに成功してそれでも仕方なく残った統制手順に文句言われるんじゃやってられんわ >>126
改善提案のネタに困った奴が提案したって言うねw >>128
指紋認証とかカード認証にしようといっても通らないもんなw 「あなたの好きな映画は?」
とかいう質問が一番パスワードやぶられそう >>8
ウチとおなじだわ
仕方ないので毎週のランダムパスワードをテキストファイルに書いてデスクトップに置いてコピペして使ってる
少なくとも俺の社用PCに関しては導入前よりセキュリティが落ちたと断言できる パスワードは
katsudonkuitai
とかだと忘れないよな ATMの4桁の暗証番号も思い出せないときがあるからな
以前、3回違えたら天井からタライが落ちてきたわ >>138
最初はなw
何回も変更すると、そのうちネタが切れるw 会社のセキュリティ担当部門が仕事してるアピールするために強制してるよなこれ 記号、数字、アルファベットのコンビネーションを要求し、なおかつ字数制限あるサイトだと殺意を覚える。 マジもんに目をつけられて侵入されたらもう何を無駄なんじゃないか
パスワード変える画面も覗かれてたら意味ない パスワードの役割はブルートフォースアタックに対抗することだけでしょ実際
そしたら解読に数百年とかそういうパスワードを設定すれば定期変更は無意味
どんな複雑なパスワードにしたところで通信が非暗号ならその複雑さも定期変更もこれまた無意味
ちなみにパスワードを別送することにも意味はない
そんなことよりメール送受信をちゃんと暗号化しろと >>6
Facebookとか普段と違うPCでログインされたらメールくるじゃん >>137
認識率やろ
生体の変化によっては認識率されんことがある
ガバガバにしたらセキュリティの意味がない 漏れる時は根こそぎ漏れるし工夫しようとしたって無意味ってことだ
昔みたいにピンポイントで解析・侵入を試みていた頃なら防御手段として有効だったかもしれないけど bouzugabyoubuniみたいな感じで、ことわざや四字熟語のパスワードは覚えやすいし長くできるのでオススメ
yakinikuteisyoku2929yenとかでも結構な桁数稼げる ビル・バーとかいうやつのせいだったのか
ケジメのために死んでくれ 数年前にセキュリティ担当の部長にパスワード定期変更の廃止を求めたら「それで事故が起こったら君は責任取れるのか!」て言われたから
「今のシステムで事故が起きたらあなたは責任取るんですか?」て返したら
「そ、それは安易なパスワードを設定した社員の責任で我々の運用には問題ない」とか意味不明な答えが返ってきた システム側で複数回間違えたら入力不可にするようにしてれば総当たりでハッキングされないからな >>104
普通の会社は数個なら更新時に数人が忘れるだけで普通に業務が務まる 突破されない限り設定したパスワードが1年経とうが10年経とうがセキュリティレベル変わらんよ ほんとキチガイじみてる
パスワードの設定ではねられるほどうんざりするものはない そもそも頻繁に覚えられない様なpass設定になれば
メモ帳とかに貼って解る場所に置いとく奴が続出するんで
そんな事になったら逆にハッキング被害が増えるだけだわな >>132
今までその質問にフィールドオブドリームスって書いてたけど先月ノーゲームノーライフゼロに変わった
いつ設定したかで答えが変わってきてしまう >>104
そいつが入院でもしたら業務が止まるだろ ほんとほんと
前にY係長が4月の転勤時期に
いなくなる人のパスだけ消さないといけないのに
職員全員のを消す申請出しやがってw
そのせいでその人含めて全員ログイン出来なくなってw
新しく申請するのもメールから だから、申請も出来ない以前に
原因が誰もわからない だって誰もパソコンがブート出来ないw
全く仕事が出来ない になったり
こっちだって勝手にパス消されたら、どうにも出来んわw
Yさんは本社まで呼び出されて、その日のうちに飛行機でゴメンチャイしに行ったらしいw
事務所の2番目に偉い人といっしょに・・・
システム使えないから、全部マニュアルで処理
業者からクレーム殺到w
全国ニュースにならないか心配したくらいの巨大ミスw
どっかの関東地方とか東海地方とかのレベルの事務所が全滅したのであったw
メール一発で破壊力バツグンだわw >>145
そう言うサービスしてりゃ良いけど、そこらのサイトじゃ、やってないからねぇ…
どっかの禿みたいにおもらしした挙句、ダンマリされたらお手上げ 一度アップルのID乗っ取られたわ
あいふぉんのメッセージに送ったこともない漢字の言葉で何回か送信されてた
怖かったわ >>163
なぜ担当者全員を登録しない
>>156
業務が止まるって書いてあんだろが>>17 大文字と小文字両方使えとか殺したくなるんだけど
あと反核入力 頻繁にパスワード変えることを強制すると、
ユーザーは簡単なパスワードにしてしまう傾向があるから、
それなら変えるのやめて、堅牢なやつ1つにすればいいって話じゃなかったか? >>169
NO NUKEとか入力しないといけないのか こういう現実論こそ各企業のセキュリティー担当に求められてんのに鵜呑みだからな どこか忘れたけど、登録するときにアルファベットだけだとダメで数字、記号も使用し10文字以上20字以内でないとエラーにされたことある。
推奨するならともかく、必須にするなんてやり過ぎだと思った。 色気出して変化つけると入れない事があるので全部パスワードは同じにしてる 最近LINEのPCログインアタックが多い
入られた事はないけど アップル🍎IDの秘密の質問すら
忘れるのにな(・ω・` ) >>12
違う
ランダムな文字列ではなくある程度の文字数のあるワードあるいは文章にしろってこと
そのほうが覚えやすいしね パスワード以外の認証方法が主流になることはないの?
paypalアカウント乗っ取られて無事返金されたけどもう嫌だ >>183
堅牢で
簡易に使えて
コスト安
こんな認証方法ができたら特許取って一生遊べるぞ
さぁ考えるんだ 所詮パスワード認証でいいシステムなら定期的に変えるのは意味ないな。 パスワードを固くする方向じゃなくて、成りすましが絶対出来ない方向にして、ある程度の緩さでアクセス可能にしておき、でも必ず突き止められて、アクセス中ということが皆に検知され、ペナルティーが物凄くデカイなら、不正の抑止にはならんのかな。 facebookで写真に写る友人の名前を答えさせる認証方法は面白いと思ったな
バスワードを知っただけの他人には突破できないからかなり強力だろ ローマ字で適当な日本語打つのが一番覚えやすい
oppaidekai
akibadegohan ■ このスレッドは過去ログ倉庫に格納されています