アメリカ政府 「パスワードは定期的に変更してはいけない」 [無断転載禁止]©2ch.net ->画像>2枚

＜アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。
エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ＞

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。
アメリカの企画標準化団体、米国立標準技術研究所（NIST）が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、
「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。


実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。
どうせ数カ月後に変更を求められると思えばなおさらだ。




「パスワードは定期的に変更してはいけない」--米政府
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php

「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、
人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。
ハッカーはどちらのパスワードでも容赦なく解読してくる。
つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。

ある程度簡単に推察されづらいようなパスワード設定してるにもかかわらず
それを何度も変更するのはさすがに無駄だわ

あるあるw

パスワードジェネレーターで作ってるけど、使える文字や字数がサイトによって違うのは
なんとかしてほしい。パスワードに記号が使えないサイトとかあるもんな。

アメリカで２年以内に当たり前の常識になって
３年以内に日本の先進企業もそれにならって
日本の政府系の新規の試みでも反映されて
１０年後ぐらいに行政や一般企業でも受け入れられて
２０年たってもそのままの企業や行政システム３割と見た

どこも気が狂ったようにパス変更を求めて来るからな。
パスワードは適当に作ってるなw
だって3ヶ月後にはパスワードを変更してくださいだからな。
気合入れても仕方ない。

3、4種類使いわけてるが
変えてはいないな

パスフレーズとか困っちゃうな

うちの会社、自分のPCログインパスを３ヶ月に1度変更とかマジキチ。
お陰で結局どっかに控えてあんの。

大手通販サイトはgoogleOTPをオプションで連携してほしいわ
サイトごとにOTPアプリ入れるのはめんどいからgoogle統一で

いい加減じゃないやつにすると忘れて困る

こういう所にアメリカ人のセンスを感ずるw
どうせ何やったってダメなんだからこだわんなよ、
メンドーなだけでムダだよ、みたいな。

BSEの時に日本は全頭検査だ、
全部やらないとダメだ、みたいになってたが、
向こうじゃ「宝くじ当たるより低い確率だろう？」
「そんな検査要らない、気にしないでアメリカ産食べてるよ」
みたいなノリでw
「メンドーな事する意味ﾅｯｽｨﾝｸﾞ」って感じだったわ

パスとかメモ帳に書いておいて
それをコピってる
スマホやタブだとアレだが

マスターアカウント以外は全部最大文字数の乱数生成だな
基本的にブラウザに記憶させて入れなかったら毎回再発行してる

よし俺のパスワード教えてやろう。IDはおしえんけど。
kshe6382T$%.bzr291fyR

>>16
そのレベルまでやってると割ろうと思っても普通の人はなかなか割れないだろうけど
企業サイトの仕様で長いのがダメとか記号が駄目とか制約あるからそこまで出来ないね

単語系ってやっぱダメなのかな
oppaiperopero6666
みたいな感じで単語と数字で桁稼いでるんだけど

>>14
KeePass使えよ
職場じゃ使えないだろうけど便利だぞ
スマホ版は通知タップでパスワードをクリップボードへコピーできて超便利

つか２バイト文字をパスワードに使わせろよｗ
破る気にもならないだろ
半角英数の100文字より、漢字３文字のパスワード破る方が難しい

64文字てお前

>>20
それアノニマスがアジア限定向けのクラックアルゴリズムに興味持ちそう

パスワードとポイントカードはどんどん増えて行くの何とかならんのかね

スノーデンだっけ？
ツィッターには日本語だ、
情報量大杉、とか絶賛してたな

>>6
それな

>>22
ランダムの半角英数文字８文字を総当りするなんて、今のPCスペックならあっという間に出来るよな
２バイト文字使えてパスワードが単純な”山田太郎”でも破るの無理だよなｗ

>>26
なるほど
2バイト文字って半角文字圏からすると厄介なところをあえてセキュリティに生かすのか

>>27
まさにそう
その辺のフリーソフトだってコピペすれば２バイト文字もパスワードに設定出来るのに
大手のどこ行っても半角英数文字で８〜３２で設定してくださいみたいなのばっかり
３２文字の半角英数の総当たりなんて漢字２文字より楽勝じゃん

覚えにくいランダムなパスワード作って、Webブラウザの自動記録機能に任せておいたら、
ある日ブラウザデータがぶっ壊れて全部入力し直しになって、自分の頭含め全くどこにもコピーがなかったから泣きそうになったことあるw
それ以降思い出せるようなパスワードしか使ってない。

定期的に変更させるより二段階認証した方がいいだろ

未だに大文字小文字の混在を矯正してくるとこシネめんどくさい

パスワードの変更を求めてくるメールが暗号化されてないとか頭悪すぎるんだが
セコムとかですら暗号化してない

無理だ。
64文字の暗記とか百人一首のようだ

三井住友銀行は最低なザルシステム

2バイト文字なら32かね？和歌。でいいなすぐ割られそうだけど

ネットバンキング系とか下手したら数字だけでログオンだし
ユーザーにパスワードの変更求める前にやる事あるんじゃないのか

「abcd123」みたいなパスワードを止めて、「おいしいお水で作ったお小水」みたいなパス文章に変えろって事か

情弱はkeepass頼り

>>38
そこクラックされたら死ねっていう事でもあるわな

>>33
「今日はいい天気」とかそんな感じのを入れるんだろう

全部指紋にしろや

うんち

弊社を装った偽メールにご注意下さい！リンクをクリックしてはいけません！

パスワードの変更はこちら：
https://〜



これやめろ

>>43
それをテンプレにしてフィッシングサイトを偽装されたらどうするつもりなんだろうな

>>34
ワンタイムパスワードが義務になったから
まだマシな方かと思ってたけど

>>44
実際やられてる例もある
メールもそっくり、リンク先もそっくり
リンク先が正しいかで判別するしかない

メールアドレスをクッソ長いやつにすると迷惑メール全然こなくなる
フィルタだのなんだの使うよりよほど効果的

俺も長くても忘れないパスワードにしている。

uusshmhmBA

>>47
メアドは長くするのと関係なしに
どこでそのメアドを登録に使ったりしたかの方が大きいよ

パスワードの80%が123456 だったからな（ ´･ω･)　

>>37
その「おいしいお水で作ったお小水」とかがパスだったらどんなに複雑にした半角英数よりってか１万字半角英数並べるより突破するの無理
２バイト文字のパスなんてそもそも突破する気にすらならん、半角英数に絞って総当たりで検索するのと労力が違いすぎる
最初の「お」ですらひらがな、カタカナ、漢字で何十万字あるのか解らんレベルだし
半角英数ならたった２６＋１０だぜｗ
半角英数１０桁のパスとか漢字２文字のパス破るより簡単

こんなのわかりきってたことなのに
パスワード変更勧告ほんとうざかったからやっとという感じだわ

変えると忘れます

>>51
日本のお偉いさんがそういうのに気づいてくれたらいいんだけどな

パスワードを変えた翌日は前のパスワードしか思い出せないから困る

パスワード変更する、メモを取る、メモを盗み見されるってのがよくありそう。

自分をクビにした会社のビルに向かって
陵辱系のAVをプロジェクターで一晩中投影し続けるという嫌がらせを思いついたんだけど
これって犯罪ですか？

さすがに４桁の数字でパスワードとか、どんなに頻繁にパスワード変えても脆弱すぎるだろ。
パスフレーズで困ったのは、文末にピリオド入れたっけ？　くらいかなw

パスフレーズとかめんどくさすぎ
単語のアナグラムに少しずつ足していってるわ、忘れることもないし

>>57
やるときは教えろよ。
見学に行くから。

>>32
暗号化の必要もないだろ

パスはあべしひでぶたわばで済んでる

>>48
omanko123chimpo456
これだけで１８文字稼げる

最低64文字ｗｗｗ

何度も間違えてパスワードじゃなくブロックワードになっちゃう

裏がありそう

4桁なら4869（シャーロック）安定

全部ナマタイ認証でええやん

半沢直樹で見た、パスワードを書いた紙をデスク引き出しの裏に貼り付けるってヤツ。
これをやってたヤツ（アホのゆとり）が、貼り付けた場所を忘れてたな。
テンパってたから、俺が「デスクをひっくり返してみろw」って言ったら、
机丸ごとひっくり返そうとしてて、慌てて止めた。

起動するたびに６４文字も打ち込みたくねええ

去年からさすがにフリーのパスワード管理ソフト入れたわ
全部で20か所以上あった

こんなの手動で管理したくない

パスワード変更して変更したパスワードがわからなくなる
そして、そのサイトは使わなくなる。終り

>>48
↑↑↓↓←→←→BA

パスフレーズ考えた。


ニイタカヤマノボレ

日付けとか連番とか推測可能なパスワードになってくからな

パソコンにメモ帳でパス書いてる奴おるけど
いったい何考えてるんだよ

もう10年以上変えてないわ

パスワードに漢字を当てられれば解決

母親の出身地は？

mukashimukashiarutokoroniojiisanntoobaasanngaimasita


みたいな感じかやるとしたら

ＣＩＡにハッキングされるの嫌だから頻繁に変えますぅ

>>1
あんたの立場なら、ATMのパスワードにクレームすべきだろ

久しぶりにログインしようとしてパスワード忘れる
パスワード変更するか・・・そのパスワードは以前使ったので使用できません
その繰り返しでメモしてないので更に訳が分からなくなる(´・ω・`)

64文字も覚えられねーよ

ジャップ製サービスの頭の悪さは異常
Safariが自動生成した複雑なパスワードが通らない率が高過ぎるわ
アメリカ発のサービスならほぼ間違いなく通るのに

一回しか使ってない通販サイトの広告メールが鬱陶しいから配信停止しようとしたらパスワード分からなくて結局停止できんかったな
素直に登録アドレスにパス再発行手続き送ってくれよ
秘密の質問なんて凝ったことしてんじゃないよ

muraokamayuko

パスワードが解析されている途中に、パスワードを変更したとして、破られる率は低くなるのかな？
変わらん気がするんだけど。

日本において日本語という日本でしか使われてない言語をなぜもっと積極的に使おうとしないのか不思議だよな
こんだけセキュリティセキュリティ言いながら使える文字は半角英数記号だけ
パス欄は変わることなく半角文字しか打てず基本文字が隠されている

>>27
例えばこんな感じかな

「美容と健康のために、食後に一杯の紅茶」
「ロシアンティーを一杯。ジャムではなくママレードでもなく蜂蜜で」

なんでそんな当たり前のことが今まで分からなかったの？

>>20
天才！

>>88
パスワード入力中に、漢字変換をするの？
今は入力中途中の文字が見えなくなるのが主流だよね？
●●●●●j
こんな感じで

変えると忘れるしな、結局解除変更してもらわないかんくなる

２，３つのパスワードを交互に使いまわすだけだ。
全ての人間が当てはまると思うなよ

>>94
グーグルだかは過去に使ったパスワードは登録できない

ログイン先が軽く300はある
どないせーちゅうねん

そうだよないちいち面倒なことこの上ないから
向こうから認証パスワード送信してくればおK

記号を入れる場所変えて調整してる

>>89
イゼルローンでも乗っ取る気か？

全部同じで変えたことない

指紋認証とかできないの？

トークンみたいにUSBで外部に保存、
ログインって1個位しか探せなかったな、輸入だし
まともなのない

>>101
コピられたら全滅やん

5パターンぐらいで使いまわしてるわ

キングジムから管理の端末でてるけど
いまいち

指紋認証にしちゃおうぜ

会社のPCは定期的に変更を強制するわパスフレーズに一定の要件(非公開)設けてるわで最悪

>>51
すげー
またひとつ賢くなった

>>85
どこで始めたのか知らんけど、あの秘密の質問って糞すぎるよな。
類推される可能性が高い上にそれを防ごうとすると必要になるころには忘れてる。

>>3
以前、日経コンピュータの記事で、
パスワード8文字ぐらいの例だったが、
毎秒変えようと10年同じなのと破られる可能性は
0.000001％ぐらいしか違わないって載ってた

秘密の質問に真面目に答えてんの？
あれは全く関係ないものにしとくもんだろ

最低64文字とかみんな詠唱呪文みたいなパスワード入れる事になるのか
あまり考えずに祈祷文みたいなのを入れて速攻クラックされそう

おいマイクロソフト！
最初の数ヵ月でパスワード変更させるのやめろよ！

せっかく俺が全部のPCにOffice入れて外回り以外の人のは全部
俺一人でパスワード管理してる体制で固定したのにまた全部の
PC再設定しなきゃ行けなくなったじゃねーか。いい加減にしろ。

>>109
なんかの雑誌で、どの質問に対しても、一定の答えを登録すると良いって書いてた
例えば、札幌 と答えを固定

母親の旧姓は→札幌
ペットの名前は→札幌

って感じ

>>113
何台あるか知らんが、困るぐらい台数あるなら
ADたてて、ポリシーで一括管理じゃないの？

>>114
どの質問を選んだか忘れる件

アメリカ関白

もう
12345678でいい

面倒だからなケツに1とか2とか加えるだけだわ

>>116 それ俺だ

＞なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。
わかるわかるｗ

>>115
ニートの夢のお仕事にまじレスしちゃダメぇ

じゃあ、俺は「健康と美容のために
食後に一杯の紅茶」にしようかな

俺前から日本語読みをローマ字にしてパス作ってる
長音とか使うからおすすめ

>>86
korayametamae

職場でPC3台、更にサーバー入る時のログインも複数ある上に
定期的にパス変更しないとならんのと以前使ったやつは再利用出来ない
クソ面倒すぎてPCの付箋アプリに全部メモ残してるわ

考えるのめんどくさいからキーボードを適当にバンバンしてから10文字ほどコピペしとる

ABC13579です

パスワードを日本語打ち込み可にすれば外人には手出しできまい

文章PWになったら映画みたいに聖書の一節をPWにして章番号をメモしといてあっさり破られるやつが出てきそう

lastpassはやたら長い文章にしてるな

なんかすいてた

>>129
らめぇ〜とかぬぷぬぷとか絶対わかんないだろうな

>>57
猥褻物陳列罪だな
迷惑防止条例とかもアウトっぽい

>>116
向こうから問題出してこない？

>>122
ヤベェ釣られたw

>>2
>最低64文字でスペースも入れられる「パスフレーズ」
イイネ

>>135
>向こうから問題出してこない？
自分で選ぶ方式もあるよ

googlekeepにあらゆるパスワードをメモってる

パスワードに必要なのは強度の方なんだが、破られていない強度の高いパスワードを破られやすい強度の低いパスワードに変えてしまう懸念がある
これは思い出でパスワードを作ることが多いので頻繁なパスワード変更でユニークな思い出が枯渇してしまうというのもあるだろう
あと、頻繁な変更で覚えてられないから短いパスワードになってしまったり、新しいパスワードを忘れない様にメモに残すという斜め下もあり得る余計に危険

クソ長いパスワードにしてしまって困ってる

>>2
ふっかつのじゅもん、書いた事ないんやろうなぁ

本当に大切なのは普段使っているプロバイダと子端末の組み合わせと違うものからのパスワード失敗アクセスやパスワードアクセスを問い合わせるとか明確に見れる様にする事
失敗アクセスが多いならアタックを受けているのでパスワード強化のアドバイスやある程度限定した端末条件しか受け付けない様な処理が有効になるが
めんどくさいから無責任に定期的のパスワード変更しろしてないなら俺知らねとやらかした間抜け策が実態
なんの役にも立たない企業側の怠慢だったりする

>>26

総当りで 128^8 と、256^8の違いでしょ？

覚えやすいとは思うけど256倍の差しかないよ

>>26
それだけ単純だと辞書攻撃されて一瞬で終わり
漢字、ひらがな、記号、半角文字英数の組み合わせが最強

Amazonがやっと2段階認証に対応したから、まだの人はやっといた方がいい

>>18
単語の組み合わせでアタックされる可能性はあるが
法則を知らない場合は総当たりと殆ど変わらないから
桁数が多くなる分概ね堅牢にはなる

>>119
俺も長めのパスワードで、最後に数字のローテ

そもそもアタックするほどの回数受け付けてんじゃねえよアホという
しかもいつもログインしてくるのと全然関係ない国からのを
それを対処したくないからこんな珍妙な事をやらされてたのな

パスワードに漢字いれろ

今時のシステムはunicodeベースなんだろ
IDパスワードが漢字に非対応な意味がわからん

創価学会は犯罪集団
ドトールコーヒーは学会員だ
集団ストーカー

アメリカさんなら信じよう

>>136
いままでのパスワードってスペース入れられないんだっけ？

>>16
こういうパスワードってシェルで処理する時にエスケープで悩むよな

kimjonunなら突破されないべ

>>1
CIA:おまいらは聞いてるか

警告ごとに真面目に変えてたら忘れてわからなくなってから変えてない

WindowsNT3.51だと定期的にパスワード変更しろっていわれるな、
もちろん面倒なので変えないが

>>1
アメリカ人は合理的だなw
ワイもキャッシュカードのパスワード20年以上使ってるけど、金パクられたことないしwww

おめーが1番信用できないんだよアメリカさんよ

>>147
長めの基本パス+媒体名（+数字）だな

>>159
むしろコイツらが言い出したんだよ

総当たりで破れないパスワード
値じゃなく式で与えてはどうだろう
6x**6-876x*4+4
1000ポイント以上マッチしないと合わない

>>137
へー
なんか策に溺れて結局使いにくい
っていう本末転倒感が否めないね

>>162
間違いを正せる所がアメリカ人の素晴らしいところだよw
日本なら官僚が利権にして、間違ったことを吹聴し続けるwww

枕草子とか徒然草の一節を設定したらあなたは1589番目ですとか言われそうな予感

せちととてらすしふ

目分で柞った文章に基木的な部分で間違いを人れれば強個なパスフレーズになりそうだな

生態認証でええやん

Googleみたいにログインしたらメールとかポップアップ出るようにする方がいいよな

パスワードやIDを紙切れにメモって本棚に置いてある

俺が調べられなくなるからとかじゃないよな？
この前パス開示で拒否して捕まってたよな

最近は4けたのPIN?でログインできたりよくわからん

>>173
MSの言う事にゃ「この端末からしかPIN受け付けないから長ったらしいパスワードより安全なんです」

>>20
ASCII以外だと文字コード問題の解決が難しいな

>>20
今は3バイト文字とか4バイト文字が主流だな

復活の呪文の悪夢が、、、

なるほどね

イオン銀行うざい

>>41
指紋やバイオメトリクスはむしろセキュリティ的にはパスワードより脆弱
漏れた時に変えようがない

>>14
いけないことなんだろうが俺もそうしてる
サイト毎に違うパスワードなんて憶えられん

指紋認証や網膜認証は指や目ん玉をくり抜かれる恐れがあるから嫌

今の携帯番号を２０年以上使い続けてるけどイタ電が全く無くなったわｗ

まあ、こんなの変えても変えなくても相手がその気になれば破られるよ
破られたときに被害保証したくないから３ヶ月毎に変えろって言ってるだけ　変えてなければ保証しません、て

>>182
最近だとそんな心配する必要ないよ
高解像なデジカメの写真から指紋抜かれたりするから下手したら

指紋認証+PINのロックが標準になんねーかな
指紋だけだと何か不安なんだよな

パスワードを変更されては困る人たちがいます

パスワード定期的に変更すると簡単なものになりがちだな
末尾の数字だけ変わったりね

>>187
変更が必要なのはアタック解析が進んでいたり流出したりした場合だ
むしろそっちの方で企業がサボらずしっかりしなきゃいくら変更してもきりがねえ

64文字コピペ不可だとつらい

ネットバンキングは何度もシステムが変わってその度にパス変えさせられて
どれが今のパスだかわからなくなって
いざ使いたいときにはロックされたりしてろくでもない
今も三菱何とか銀行で苦労させられて諦めた
乱数表とか送ってきたくせに勝手にアプリインスコしろとかワンタイムパスワードしか使えないとか
いい加減にしろ

アルファベットとか数字とか書いた紙用意して
そこに適当にダーツ投げて決めれば最強のような気がする

指紋認証も夏と冬で認識されなかったりするしな
網膜が絶対変わらないんなら
カメラで網膜認証でもしろ

まあパスワードを変えた事は一度もないがな
破られるリスクより忘れて面倒な事になるリスクの方がよほど高い

>>193
> カメラで網膜認証
顔写真漏れたら預金全部取られるなw

そりゃそうだろう。
ネットの情報は全部監視してるのに、いちいちめんどくさいんだよって感じだろう

一曲カラオケ歌わせて本人認証したらええやん
歌います！
クリスタルキングで大都会！(自分で前フリ)


あーあー！↑↑はってっしーないー！ゆぅーめをーおいかー(ry

認証に失敗しました
最初からもう一度歌い直してください

>>197
ハードロックの人なのに
無茶しやがって

>>185
画像スキャンしてる訳じゃないだろ
指紋の型どりと登録した実機が必要なはず

>>199
データ流し込む話してんじゃねえよ
擬似指作ってセンサーに読ませる
実際成功してる実験がある

>>200
何で喧嘩腰なんだよw
読ませるセンサーは実機についてるんじゃないの？
疑似指ってのは正に型どりの事じゃないのか？
あぶないのは指紋に紐付いてるパスが流出する事だと思うけどね

五つくらいを回せばいい。

Abc1234!
Abc1234+
Abc1234-
以下ループ

しょぼいサイトだといつも使ってるパスワードが長すぎて桁数に収まらない

>>197
カスラックに金取られるだろ？w

>>184
だからパスワードを式で与える方式にすりゃいい
無限にある係数を延々と試行しないといけない
それも2.5乗とか乗数も込みで

簡単なパスワード
3.64x**4-log(x/3)
これをパスワードにして内部で式評価する
10000万ポイント以上一致しないと正解と認めない
これが人によってかわる
はたして総当たりで見つけられる？

米政府の諜報マシンの稼働効率上げたいんですね？

パスワードが動かない文字ってのが癌
だからワンタイムだのなんだのいる

1. キーコードを個人ごとに持ち、それを双方向で共有してから打つ
　これで実質言語系の辞書は使えない
2.パスワードに式の評価を導入する
　アタックする奴は、サンプル点なしのフィット演算をやらなくてはならない
　グラフがわかればだれでもフィットできるがあてずっぽうで設定した関数は言い当てることはほぼ不可能