【IT】「パスワードは定期的に変更してはいけない」 米政府

1 ：KingFisherは魚じゃないよ ★：2017/05/23(火) 22:14:28.99 ID:CAP_USER9.net

＜アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ＞

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所（NIST）が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。

銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。


【参考記事】パスワード不要の世界は、もう実現されている？！
http://www.newsweekjapan.jp/stories/technology/2016/03/post-4761.php


実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。

なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。

どこかの1文字だけを順番に変えていくなどのパターンになりやすい。


【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音
http://www.newsweekjapan.jp/stories/world/2017/04/post-7377.php


仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。


【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか
http://www.newsweekjapan.jp/stories/technology/2017/05/wannacry-nsams.php


定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。

フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。

（全文）
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php

2 ：名無しさん＠１周年：2017/05/23(火) 22:15:44.49 ID:layFL7kB0.net

こないだDMMアカウント乗っ取られて９万円使われたばっかだが？

3 ：名無しさん＠１周年：2017/05/23(火) 22:16:04.97 ID:LVUg6Zu00.net

たしかに
会社で数ヶ月置きに変えろってなるから適当なの使いまわしてたわ

4 ：名無しさん＠１周年：2017/05/23(火) 22:16:20.71 ID:xYxWQ3iP0.net

ロシアンティーを一杯ｒｙ

5 ：名無しさん＠１周年：2017/05/23(火) 22:16:40.34 ID:IuJ9ZemH0.net

こんなの知ってた

6 ：名無しさん＠１周年：2017/05/23(火) 22:16:47.88 ID:Sn8fbuGU0.net

フレーズにしたら情報が圧縮可能になって、情報量が減るのでは？

7 ：名無しさん＠１周年：2017/05/23(火) 22:16:54.58 ID:7KAJRMkk0.net

変えろとか、変えるなとか、どっちやねん

8 ：名無しさん＠１周年：2017/05/23(火) 22:17:16.05 ID:OeihjRRh0.net

ああフレーズにしてくれれば楽だな。
ただソーシャルハックは逆に心配になるかな？

9 ：名無しさん＠１周年：2017/05/23(火) 22:17:38.82 ID:o5ouvO9n0.net

文学作品の冒頭とか使う人増えて変わらん気もする

フレーズにしても

10 ：名無しさん＠１周年：2017/05/23(火) 22:17:43.18 ID:pPUbL/FB0.net

似た様なのにしないと覚えられんからな

11 ：名無しさん＠１周年：2017/05/23(火) 22:17:46.92 ID:Rn7amzks0.net

会社では3カ月ごとにパスワード末尾の数字をプラス1してるわ

12 ：名無しさん＠１周年：2017/05/23(火) 22:17:47.13 ID:G2gYmUdJ0.net

小学校の名前とか500個くらい出して、一ヶ月ごとにローテーションするとかどうよ

13 ：名無しさん＠１周年：2017/05/23(火) 22:18:29.54 ID:loGkOIws0.net

金融機関の暗証番号もタッチパネルでキーボードを用意しないとな

14 ：名無しさん＠１周年：2017/05/23(火) 22:18:49.04 ID:tCCEN5Wi0.net

ケツかゆいから孫の手でかいたら血が噴き出た　こんな感じで登録するのか

15 ：名無しさん＠１周年：2017/05/23(火) 22:19:09.23 ID:e3C/QPuo0.net

会社のパスワード、毎月変更とかウザい
○○○201705とかで回すの推奨とかアホかと
実質文字数減らすだけじゃん

16 ：名無しさん＠１周年：2017/05/23(火) 22:19:21.44 ID:8mkvEVf+0.net

24では数時間おきにCTUのセキュリティコードが更新されてたぜ

17 ：名無しさん＠１周年：2017/05/23(火) 22:19:46.98 ID:ENR8WXhZ0.net

パスワード変えたところで破られる確率変わらんだろ。

18 ：名無しさん＠１周年：2017/05/23(火) 22:20:00.12 ID:xeajBh9d0.net

>>14
採用

19 ：名無しさん＠１周年：2017/05/23(火) 22:20:01.32 ID:rTwRk4Vd0.net

企業だったらランダムなパスワードを1年に1回発行して紙に印刷して渡せばいいと思う

20 ：名無しさん＠１周年：2017/05/23(火) 22:20:08.06 ID:p/SJPvFA0.net

固定フレーズ+西暦+変更回数で使い回しだったわ

21 ：名無しさん＠１周年：2017/05/23(火) 22:20:24.52 ID:E2lDdkfD0.net

　
パスは今日の4

　

22 ：名無しさん＠１周年：2017/05/23(火) 22:20:35.87 ID:8mkvEVf+0.net

そのくせ毎回スパイ天国だったっけ

23 ：名無しさん＠１周年：2017/05/23(火) 22:20:46.57 ID:LD8QYixY0.net

定期的に変更したりしないよ。
考えるだけ面倒くさいよね。
いちいち付箋を作って張り付けたりしたら貼るところがなくなる。
それともみんなは覚えられるの。

24 ：名無しさん＠１周年：2017/05/23(火) 22:20:46.92 ID:NfFW27LM0.net

時代は復活の呪文か

25 ：名無しさん＠１周年：2017/05/23(火) 22:20:49.26 ID:OrThsAud0.net

>>1
jugemu jugemu gokou no surikire　…

とか？

26 ：名無しさん＠１周年：2017/05/23(火) 22:20:49.69 ID:8XJqDhoR0.net

定期的というか効果があるのは
一回きりのパスワードだけ。

27 ：名無しさん＠１周年：2017/05/23(火) 22:21:04.47 ID:7GgNuq5S0.net

>>21
ありです

28 ：名無しさん＠１周年：2017/05/23(火) 22:21:05.06 ID:yNc7oijR0.net

ハッキングするとき面倒だからか

29 ：名無しさん＠１周年：2017/05/23(火) 22:21:14.23 ID:xYxWQ3iP0.net

健康と美容のために、食後に一杯の紅茶

30 ：名無しさん＠１周年：2017/05/23(火) 22:21:19.72 ID:o5ouvO9n0.net

>>17
変更時に一文字ずつ長くするとか

31 ：名無しさん＠１周年：2017/05/23(火) 22:21:20.58 ID:qUVJuPV+0.net

amazonは128文字にしている
あと2段階認証

32 ：名無しさん＠１周年：2017/05/23(火) 22:21:30.13 ID:oGBpjuHp0.net

サイトによって違うパスワード使いたいんだけどなぁ

33 ：名無しさん＠１周年：2017/05/23(火) 22:21:42.13 ID:Ewb6tSt60.net

「俺より先に寝てはいけない」

34 ：名無しさん＠１周年：2017/05/23(火) 22:21:42.20 ID:rTwRk4Vd0.net

>>15
全くその通り。毎年ならともかく毎月しかも各自で決めさせるなんて愚の骨頂。
一見バカバカしいようだが紙に印刷して渡した方がはるかにまし。

35 ：名無しさん＠１周年：2017/05/23(火) 22:21:42.27 ID:WnVARPUn0.net

サービス毎にユニークなランダム文字列パスワード設定してるが、クロムたんに覚えさせてるから無意味だな。

36 ：名無しさん＠１周年：2017/05/23(火) 22:21:45.12 ID:h9WNRMMZ0.net

母国語使えるようにしろよ

37 ：名無しさん＠１周年：2017/05/23(火) 22:21:50.78 ID:u9baP6PiO.net

>>13
振り替え先の住所とか名前を漢字でいれられるように
標準機能として日本語入力機能を持ってるからな。

38 ：名無しさん＠１周年：2017/05/23(火) 22:22:06.86 ID:QLY0qgDI0.net

おれのパスワードは２０文字以上やで

39 ：名無しさん＠１周年：2017/05/23(火) 22:22:11.27 ID:tmLC8vVk0.net

>>29
それロックかかっちゃう！パスじゃないよパスじゃないよ

40 ：名無しさん＠１周年：2017/05/23(火) 22:22:35.48 ID:VolS9/Xy0.net

覚えてられんくなるから、パスポートリストを毎度参照する始末。

41 ：名無しさん＠１周年：2017/05/23(火) 22:22:36.10 ID:myY2So8V0.net

ワシは元号と生年月日を使っているが損害は二回だけだな

42 ：名無しさん＠１周年：2017/05/23(火) 22:22:57.16 ID:Y76kGkvo0.net

いくら変えろと表示されてもいつも無視して今に至る…

43 ：名無しさん＠１周年：2017/05/23(火) 22:23:03.82 ID:yG065Ig80.net

そもそもアルファベットと数字だけってのが
あと少しの記号かそれじゃすぐパス抜かれちゃうわ
漢字ひらがなカタカナも組み合わせればいいのに

44 ：名無しさん＠１周年：2017/05/23(火) 22:23:04.51 ID:A3NuIGGw0.net

>>4
健康と美容のために食後に一杯の紅茶

45 ：名無しさん＠１周年：2017/05/23(火) 22:23:15.25 ID:vWrsMsU80.net

パスワード変えたー＞忘れた

これが一番最悪。

46 ：名無しさん＠１周年：2017/05/23(火) 22:23:22.26 ID:u9baP6PiO.net

>>24
たまに誤表示して入らなくなるからずっと電気をいれっぱなしにしないといけないとかな

47 ：名無しさん＠１周年：2017/05/23(火) 22:23:31.64 ID:7nXbT9eJ0.net

>>2
自分で使ったくせにwww

48 ：名無しさん＠１周年：2017/05/23(火) 22:23:40.23 ID:UKLOiBLrQ.net

パスワードなんかイチイチ変更なんかしないよｗ

49 ：名無しさん＠１周年：2017/05/23(火) 22:23:48.16 ID:iR+U5l2p0.net

pasuwaado1
pasuwaado2
pasuwaado3

50 ：名無しさん＠１周年：2017/05/23(火) 22:23:48.25 ID:RZXXmPB90.net

>>14
「エラー:そのフレーズは他のユーザーにより使用されています。」

51 ：名無しさん＠１周年：2017/05/23(火) 22:24:26.71 ID:7nXbT9eJ0.net

>>11
オ〜バ〜フローしたらどうするの〜？

52 ：名無しさん＠１周年：2017/05/23(火) 22:24:41.44 ID:o5ouvO9n0.net

>>47
認知症はせっかちだから鶏たがるのか

53 ：名無しさん＠１周年：2017/05/23(火) 22:25:00.82 ID:SFAKOMoO0.net

qwertyuiop
asdfghjkl
zxcvbnm

54 ：名無しさん＠１周年：2017/05/23(火) 22:25:07.46 ID:7GgNuq5S0.net

２段階認証の登録したまま携帯解約すると辛い

55 ：名無しさん＠１周年：2017/05/23(火) 22:25:51.97 ID:0wK72Tf30.net

最低６４文字って・・

56 ：名無しさん＠１周年：2017/05/23(火) 22:25:58.57 ID:pZ6cS79l0.net

「子供の頃に飼っていた犬や猫などペットの名前」とか「親や兄弟の名前」とかってやつでええやん。

57 ：名無しさん＠１周年：2017/05/23(火) 22:26:07.66 ID:kzvOw8Qb0.net

俺、銀行のキャッシュカードの暗証番号と
ネットのプロバイダの接続パスワードは、
１０年以上ずっと同じだな

58 ：名無しさん＠１周年：2017/05/23(火) 22:26:18.34 ID:F5a0AAvD0.net

やっとかよ

59 ：名無しさん＠１周年：2017/05/23(火) 22:26:26.08 ID:J7xnC7Pl0.net

＞＞677
おれは

60 ：名無しさん＠１周年：2017/05/23(火) 22:26:29.67 ID:+bAIK/rK0.net

辞書攻撃されるとパスワードもパスフレーズも一緒だけどな

61 ：名無しさん＠１周年：2017/05/23(火) 22:26:37.46 ID:OvuACEG10.net

どっちやねーん

62 ：名無しさん＠１周年：2017/05/23(火) 22:26:39.65 ID:4CMPjz0Y0.net

ワシは勤務先でずっと同じパスワード使ってるよ。機械が「そろそろ変更しろ」
言うてきたら変更して、その直後に前のパスワードに再変更すれば、ずっと同じ
のを使える。職場のPCなんて感染しようが情報漏れようが、上の奴のクビが飛ぶ
だけの話し、結構いいかげんだが　　あなたもそうでしょ？

63 ：名無しさん＠１周年：2017/05/23(火) 22:26:40.06 ID:7nXbT9eJ0.net

毎回ログイン時に忘れましたとして
新規パスワードを適当に登録で良いじゃない。
ワンタイムパス的な感じで。

64 ：名無しさん＠１周年：2017/05/23(火) 22:26:56.91 ID:tp0n+n370.net

昔のUNIX系のパスワードはハッシュ化されて誰でも読める場所に保存されていた
当時の計算速度でハッシュを逆計算すると数ヶ月かかることから
数ヶ月置きにパスワードを変えよ、と言われていた

というような夢を見た

65 ：名無しさん＠１周年：2017/05/23(火) 22:27:02.54 ID:WAloxPta0.net

今年ノートンにしたらパスワード作成機能があったので
全部パスワード変更した

66 ：名無しさん＠１周年：2017/05/23(火) 22:27:26.18 ID:raQ8UfIW0.net

>>33
「俺より後に起きてもいけない」

67 ：名無しさん＠１周年：2017/05/23(火) 22:27:37.62 ID:kh1N7uEm0.net

パスワードに漢字を混ぜるといいらしいぞ

68 ：名無しさん＠１周年：2017/05/23(火) 22:27:39.78 ID:loGkOIws0.net

>>15
面白いｗ

69 ：名無しさん＠１周年：2017/05/23(火) 22:27:41.06 ID:7nXbT9eJ0.net

>>52
ん？
ちょっと言ってる事分からないです。
ごめんなさい。

70 ：名無しさん＠１周年：2017/05/23(火) 22:27:58.77 ID:ALYflLoP0.net

>>53
おいやめろ

71 ：名無しさん＠１周年：2017/05/23(火) 22:27:59.37 ID:yr48w0nW0.net

そのエラーはエラによるエラー。

72 ：名無しさん＠１周年：2017/05/23(火) 22:28:02.12 ID:MWNpJJs/0.net

>>>2

やはり個人ユーザーでもそんなことあるんだ。

ウイルス？

73 ：名無しさん＠１周年：2017/05/23(火) 22:28:08.41 ID:+eKsZROn0.net

パスワードひとつに統一してくれないの？

74 ：名無しさん＠１周年：2017/05/23(火) 22:28:09.84 ID:layFL7kB0.net

>>47
使ってねえよｗ
初めてだったからマジで焦った

DMMに連絡して返金手続きしてもらって、カード会社の決済も
間に合ったんだけど、生きた心地しなかったなあ

つかあれ、こっちから被害届出さないとDMMとかカード会社からは
警察に通報しないもんなんだね。ビビった

75 ：名無しさん＠１周年：2017/05/23(火) 22:28:13.92 ID:zP0gssaF0.net

SBIネット銀行のメッセージ、変更しろの警告が溜まりまくり

76 ：名無しさん＠１周年：2017/05/23(火) 22:28:19.21 ID:d6K3ZQXR0.net

お前を嫁にもらう前に言っておきたいことがある
かなりきびしい話もするが俺の本音を聞いておけ

パスワードは定期的に変更してはいけない

77 ：47歳無職童貞キモピザ低学歴低身長禿ロリ ◆Zay2S8giCsrB ：2017/05/23(火) 22:28:26.87 ID:RR0nGQ360.net

どっちなんだよ！！　　ハッキリしろい！！！！

べらぼーめぇ！！！！

78 ：名無しさん＠１周年：2017/05/23(火) 22:28:37.21 ID:cE1iYQQj0.net

最低64文字って、入力するのだるすぎるだろ。
PCとかスマホに記憶させておけとでも言うのか。

79 ：名無しさん＠１周年：2017/05/23(火) 22:28:49.84 ID:IPZNhgMz0.net

ネトウヨ「女や老人は情弱だからパスワード変えないんだよ！恥ずかしいね！」

↑これ見て女や老人をバカにしてたのに、実は情強だったの？(´・ω・`)

80 ：名無しさん＠１周年：2017/05/23(火) 22:28:50.78 ID:ICr3GaPU0.net

マジで・・・・。

81 ：名無しさん＠１周年：2017/05/23(火) 22:28:53.11 ID:wS4Y+57s0.net

６４文字フレーズとかいちいち打ち込むのめんどくさすぎるだろ

82 ：名無しさん＠１周年：2017/05/23(火) 22:29:15.79 ID:YQY64ANv0.net

不定期に変えろという話かと思った(´・ω・｀)

83 ：名無しさん＠１周年：2017/05/23(火) 22:29:18.61 ID:dFIZsHPr0.net

>>12
山手線方式なら使ってるな　ホイールの数がいくつあるかは秘密だ

84 ：名無しさん＠１周年：2017/05/23(火) 22:29:28.57 ID:G7D+JrPk0.net

パスワード隠すのも止めてくれ

85 ：名無しさん＠１周年：2017/05/23(火) 22:29:30.88 ID:KY70YKc80.net

辞書攻撃が捗りそうだな

86 ：名無しさん＠１周年：2017/05/23(火) 22:29:45.58 ID:pvRo9R3Q0.net

>>1
言いたいことは分かるｗ
短いフレーズでちまちま変更した所でハッカーは解読、ユーザーだけ負担
でも64桁は、面白いけど無理だｗバーコードにしてバーコードリーダで読むならいいけど
手打ちは無理。手打ち・文字列の概念から抜けないとダメなんだろうね

87 ：名無しさん＠１周年：2017/05/23(火) 22:29:47.97 ID:0ucsb8JI0.net

ほんといつも変える必要があるのか気になってたわ
変えないとパスワード解読されるようなシステムでもなかろうに

88 ：名無しさん＠１周年：2017/05/23(火) 22:29:52.54 ID:zP0gssaF0.net

数字４桁は突破される
シナからのアクセスで２回突破された

89 ：名無しさん＠１周年：2017/05/23(火) 22:29:57.69 ID:VAq6Hh8s0.net

正露丸乗せコーラかけご飯
または
宇津救命丸乗せシュウェップスかけご飯

90 ：名無しさん＠１周年：2017/05/23(火) 22:30:00.24 ID:rY4899iJ0.net

>>11
うちはちょっとだけしか変えなかったら弾かれるわ。そういうシステムも多いと思う。
今は期限なくなったから支障ないけど。

91 ：名無しさん＠１周年：2017/05/23(火) 22:30:12.82 ID:F5a0AAvD0.net

>>15
ソで始まる会社かな？？

92 ：名無しさん＠１周年：2017/05/23(火) 22:30:13.92 ID:HGv0sUk80.net

半年毎に更新させられるから、結局@1,@2で連番にしてるわ。
パスワード多過ぎてデスクトップにファイル作って保存してる。
いけないんだろうけど、どこもかしかもパスワードでとても覚えられない

93 ：名無しさん＠１周年：2017/05/23(火) 22:30:14.16 ID:OiQVaLi50.net

>フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい
アメリカ人的な発想だなw

94 ：名無しさん＠１周年：2017/05/23(火) 22:30:21.30 ID:QLY0qgDI0.net

>>74
なん文字のパスワード

95 ：名無しさん＠１周年：2017/05/23(火) 22:30:27.70 ID:d0lIJNrg0.net

>>2
9万円まで止められないって事は普段から大量買い又は課金してるんだな

96 ：名無しさん＠１周年：2017/05/23(火) 22:30:44.83 ID:QQT9eGjO0.net

変更したらまた一からパスワードを解析しないといけないからな

97 ：名無しさん＠１周年：2017/05/23(火) 22:31:16.23 ID:7hERArnB0.net

gallia est omins divisa in patres tres
とガリア戦記を冒頭から1フレーズずつパスワードにしてる。
そろそろ、物語も中盤だ。

98 ：名無しさん＠１周年：2017/05/23(火) 22:31:25.37 ID:NBScMT2u0.net

強制的に変えさせられるサイトもあったというのにひどい結果だｗ

99 ：名無しさん＠１周年：2017/05/23(火) 22:31:54.00 ID:F+2ELTFs0.net

>>2
DMMはカード情報消して他のカード登録しようとしたら消したはずのカード情報で引き落とされるから注意な
あんな所にクレカ情報やるなよ

100 ：名無しさん＠１周年：2017/05/23(火) 22:32:05.19 ID:EgXQVEj30.net

定期的に変更するようにって出るけど変更したこと一度もない。
登録時に考えるのすら嫌なのにやるわけないじゃん。