1: 2017/05/23(火) 22:14:28.99 _USER9
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。

銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。


【参考記事】パスワード不要の世界は、もう実現されている?!
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php


実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。

なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。

どこかの1文字だけを順番に変えていくなどのパターンになりやすい。


【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php


仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。


【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php


定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。

フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。

(全文)
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php
no title

3: 2017/05/23(火) 22:16:04.97
たしかに
会社で数ヶ月置きに変えろってなるから適当なの使いまわしてたわ

引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1495545268/

128: 2017/05/23(火) 22:36:14.43
>>3
うちは前回のパスワードの再利用不可だけどその前のはOKだから、変更時期が来るたびにaaaa→bbbb→cccc→aaaaみたいな感じにリセットしてるわ

196: 2017/05/23(火) 22:49:10.30
>>3
俺は、仮のパスワードにいったん変更して、翌日元に戻す。
当日だとエラーになるので翌日

418: 2017/05/23(火) 23:57:52.19
>>3
Xxxxxxx@0
Xxxxxxx@1
Xxxxxxx@2

730: 2017/05/24(水) 08:21:39.61
>>3
> たしかに
> 会社で数ヶ月置きに変えろってなるから適当なの使いまわしてたわ

パスワードを付箋に書き留めてPCに貼ってるヤツが多発する

742: 2017/05/24(水) 08:46:02.55
>>730
うちみたいにパスワードは90日以内に変更、最近8回のパスワードと3文字以上共通してたら禁止、「辞書に載っている言葉、その一部、似ている文字列」は禁止、かならず英大文字数記号を使用、キーボードの並びを使ったものは禁止、パスワードリセットは部長承認が必要、自分のPCにテキストで保管するの禁止、とかやられると、憶えられないからみんなどっかにメモるんだよな。

11: 2017/05/23(火) 22:17:46.92
会社では3カ月ごとにパスワード末尾の数字をプラス1してるわ

90: 2017/05/23(火) 22:30:00.24
>>11
うちはちょっとだけしか変えなかったら弾かれるわ。そういうシステムも多いと思う。
今は期限なくなったから支障ないけど。

638: 2017/05/24(水) 04:01:18.39
>>11
パスワードにそれは危険だと思う。ファイル名なら歓迎する。

767: 2017/05/24(水) 10:12:37.11
>>638
その通り危険なんだけど3ヶ月毎に連想しにくいパスワードを考えるのは面倒くさい上に従業員全員の手間になるから結果として
そういうパスワードの使い回しをやる層が多数出てくるのは止められない
結果としてパスワードを定期的に変更させる取り組みは意味が薄いのでやめるべきだ、ってのが昔から主張されてる話だわな

15: 2017/05/23(火) 22:19:09.23
会社のパスワード、毎月変更とかウザい
○○○201705とかで回すの推奨とかアホかと
実質文字数減らすだけじゃん

34: 2017/05/23(火) 22:21:42.20
>>15
全くその通り。毎年ならともかく毎月しかも各自で決めさせるなんて愚の骨頂。
一見バカバカしいようだが紙に印刷して渡した方がはるかにまし。

68: 2017/05/23(火) 22:27:39.78
>>15
面白いw

262: 2017/05/23(火) 23:07:06.60
>>15
実質三文字ワロタw

21: 2017/05/23(火) 22:20:24.52
 
パスは今日の4

 

27: 2017/05/23(火) 22:21:04.47
>>21
ありです

124: 2017/05/23(火) 22:35:49.16
>>21
落とせません
何か間違っているんでしょうか

212: 2017/05/23(火) 22:51:43.34
>>21
懐かしいわw

小宇宙とか言ってたわw

374: 2017/05/23(火) 23:44:18.57
>>21
懐かしすぎて涙でた (´;ω;`)

391: 2017/05/23(火) 23:49:56.68
>>21
誰かこれの意味を教えてくれませんか?

440: 2017/05/24(水) 00:08:24.63
>>391
むかしニュー速とかvipでエr・・・自作ポエムを交換するときに使ってたzipとかrar、ロダのDLパス

「今日の4」は今日の日付の4桁 → 0524

そのうち 今日の4 → きょうし → 教師 とかになってったんだよな

32: 2017/05/23(火) 22:21:30.13
サイトによって違うパスワード使いたいんだけどなぁ

299: 2017/05/23(火) 23:20:55.10
>>32
基本のパスワードは決めておいて、お尻の数文字はそのサイトの名前にしたりしている

49: 2017/05/23(火) 22:23:48.16
pasuwaado1
pasuwaado2
pasuwaado3

175: 2017/05/23(火) 22:44:35.48
>>49
なんでバレた!?

53: 2017/05/23(火) 22:25:00.82
qwertyuiop
asdfghjkl
zxcvbnm

70: 2017/05/23(火) 22:27:58.77
>>53
おいやめろ

54: 2017/05/23(火) 22:25:07.46
2段階認証の登録したまま携帯解約すると辛い

75: 2017/05/23(火) 22:28:13.92
SBIネット銀行のメッセージ、変更しろの警告が溜まりまくり

78: 2017/05/23(火) 22:28:37.21
最低64文字って、入力するのだるすぎるだろ。
PCとかスマホに記憶させておけとでも言うのか。

135: 2017/05/23(火) 22:37:53.61
>>78
案外正解なのがパスワードマネジャーを使うこと
スマホはkeepass使って時々PCと同期している

167: 2017/05/23(火) 22:43:32.71
>>1
バカサイトのpass要求
1.定期的に変えろと言うので忘れてしまったり古いのを入れてロックされたり
2.必ず8桁と決められている(普段使い慣れてるのが7や9だと受け付けないので忘れる)
3.大文字小文字を同一視(Aとaを別と認識するだけで天文学的な種類に出来るのに)
4.変更後に元のpassに戻せない(過去に使われたものはダメ)
5.キーボードにある全ての文字を認めない(#とか%とか)

191: 2017/05/23(火) 22:48:08.73
>>167
なんというか、開発が雑な印象

674: 2017/05/24(水) 06:08:28.03
>>167
関係ないけど、荷物追跡番号とかでケツにスペース入っただけで桁数が合わないとかハイフンは除けとか、そんなもんお前の方で消して扱えってのあるよな

182: 2017/05/23(火) 22:46:01.80
不審なアクセスがありました。みたいな時だけ変える
それ以外に変える理由ないよな(´・ω・`)

220: 2017/05/23(火) 22:55:08.22
ある判定サイトだと、"abcde0"というパスワードの方が"abcde0000"より強いって出る
理由は連続した文字列があるから

おかしくね(´・ω・`)?

278: 2017/05/23(火) 23:13:22.33
Googleさんからのメール、まじビビる
no title


282: 2017/05/23(火) 23:13:51.82
これっていい加減にパスワード作り直すから、作りなおさないほうがましだって話でしょ
パスワードが漏れることだってあるから定期的な変更はやるべきだよ
パスワードはツールで作成するべき
keepass2ならパスワードの管理も作成も出来る

所有しているPC以外から利用した場合は即座にパスワードを変えるべき
例えばネカフェからだってパスワードが漏れる可能性だってあるし
誰かが後ろからパスワード入力を監視してたりカメラで録画してるかもしれないからね

303: 2017/05/23(火) 23:21:44.93
>>282
後段はそれでいい
前段は米の調査によると圧倒的にいい加減が多いから、それなら変えることは勧めないってことだ
オレとかおまえさんみたいなのは稀有な存在なんだよ