パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」 - ITmedia NEWS
「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルール
は間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は
「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。
バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、
セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的にパ
スワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。
しかしこうしたルールは、現在では「間違い」という。
例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだ
け――というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。
NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。
「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアド
バイスだったという。
今年6月に冊子「800-63」は全面改訂(https://pages.nist.gov/800-63-3/)され、こうした“最悪のルール”
は撤廃された。
http://www.itmedia.co.jp/news/articles/1708/18/news072.html
引用元:パスワードは90日ごとに変更 ← 間違いだった [無断転載禁止]©2ch.net
> 「大文字や小文字、数字、記号を組み合わせる」というルールも、
>混乱を招くだけで、的外れなアドバイスだったという。
ぐぎぎぎぎぎ
誕生日
パスワードを使いまわさず、かつ一定期間ごとに変更してたらパスワード管理しきれん
散々言われてるのに
今だにパス変えろ言ってくるサービス多くてうざい
俺も中の数字変えるだけだわ
先月:1qazxsw2
今月:2wsxcde3
来月:3edcvfr4
>>7
来月なんとなくわかるけど、キーボードが手元にないからわからん。
>>7
key board 配列は弱いぞ、確か
なんでもかんでもパスワード大杉なんだよ!
考えるだけで嫌になる。
自動生成と管理してくれるソフト使えばいいじゃん
銀行や証券ならまだしもポイントサイト・クーポンサイト如きでしつこくパス変えろって言われるとアプリ削除しちゃうw
もうパスワード変更を求められすぎてわからなくなって捨ててしまったアカウントもある。
正直マイナーなサービス一つ一つまでそこまで覚えていられない
指紋認証でいいよね
>>14
指紋認証は、指紋を情報を盗られた場合に変更が効かないから
アカンやろ
>>21
10本あるだろ
正直めんどくさいからもっと生体認証が普及してほしいわ
スマホやPCにもPW管理アプリあるけど、PCスマホも突然壊れるからなぁ
俺はもうアナログにノートにしたよ。いつでも変更出来るよう1サイトに1ページ空けとく
毎月30個もパスワード変更でけへんねやー
パスワード多すぎて覚えきれない
管理しきれんし複数個を使い回してた
これで間違いではなかったんだな
そらそうだ
何で破られてないパスワード変えなきゃいけないんだよ
3つのパスワードを使いまわしてる
どれにしたか覚えてないけど
2回くらいなら間違えても大丈夫だから
本人にも分からないって最強じゃね?
>>24
「過去に使用したパスワードは使用できません」
>>63
使い回すっていう書き方が悪かったな
パスワード登録する時に3つのパスワードの
どれかを使うという意味
定期的にパスワード変更を強いてくるような
トコは人力ワンタイムパスワードだわ
>>63
この制約が地獄過ぎた
>>63
これさ、過去のパスワードをどこかに記録してるってことだよな
セキュリティ最弱だろ
何も言ってこないサイトは乱数で16桁作るけど
変えなきゃだめなとこは定番のやつだわ
銀行の暗証がいまだに単純な4桁なのはシステムの都合か?
いい加減網膜認証とかを金持ち向けにでも導入しろよ
ベースとなる覚えやすい共通パスワをまず作り
あとはそれぞれのサービスの名称の頭文字などを
頭や尻に追加して変化を持たせる
>>30
よく使わないサイトまでそれでやっていると
わからなくなって、あらゆるパターンを試してしまうな
それを記録されていたとしたら
他のサイトでの、パスワードパターンがバレてしまうと思ってしまうわ
>>30
俺もこれ
>>30
最近それだわ
日本はセキュリティー後進国だからしゃーない
銀行のログイン画面に定期的に変えろと出てくるのは逆効果なんだな
パスは30個くらいあるな
全部頭に入ってるわ
うちの会社もどうにかしろよ
アプリ毎にパスとID設定するとかマジで糞だろ
>>37
全部同じIDとパスワードにすれば解決
・2段階認証が使えるサイトは必ず設定する
・SNS認証が使えるサイトはSNS認証を使う
・パスワード管理ソフト(クラウド含む)を使う
・パスワードDBをローカルに置く場合はディスクごと暗号化しておく
・パスワード生成はジェネレータを使いサービスが許す限り強いものを使う
これぐらいの対策はしておこう
記号が使えなかったり逆に混ぜなきゃいけなかったりするのやめろ
あまり使わないサービスは、
メールでパスワード再発行してる
そんな頻繁に変えたら覚えられない。
俺は一度も変えたことがない。
いいね!しよう
本日注目の話題!
コメント一覧
※ 1.
私は名無しさん
2017年08月19日 11:23 ID:eKMU2enm0 ※このコメントに返信する※
(e/d)
仮面ライダー剣のボードは生体認証みたいなのやってたな
※ 2.
私は名無しさん
2017年08月19日 11:30 ID:3s1DJLy00 ※このコメントに返信する※
(e/d)
提唱者にはしご外されると困るよねw
※ 3.
2017年08月19日 13:39 ID:VWyW.u0E0 ※このコメントに返信する※
(e/d)
今のネット社会、管理しきれないわ。一個ばれたら芋づるの人多いだろ。
※ 4.
私は名無しさん
2017年08月19日 13:53 ID:u2iFWS3s0 ※このコメントに返信する※
(e/d)
正直、気をつけるべきはフィッシングサイトとソーシャルハックだけだと思う
※ 5.
名無し
2017年08月19日 14:30 ID:V.0U8Qo10 ※このコメントに返信する※
(e/d)
パスワード記録する事が脆弱って言うけど
パスワードはハッシュで保管するのが普通だから
運営側にもユーザーのパスワードは分からない
※ 6.
あ
2017年08月19日 19:58 ID:g9IHf3aN0 ※このコメントに返信する※
(e/d)
俺のとこは数字大文字込み10文字以上、60日に一度変更、10回前までの重複不可とかいうガチガチルールだから、
連続した10区間の駅名+数字の組み合わせを回して乗り切ってる。
コメント投稿