パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」
「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は 「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。
バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的にパスワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。
しかしこうしたルールは、現在では「間違い」という。
例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――
というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。
「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。
今年6月に冊子「800-63」は全面改訂され、こうした“最悪のルール”は撤廃された。
http://www.itmedia.co.jp/news/articles/1708/18/news072.html
「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は 「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。
バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的にパスワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。
しかしこうしたルールは、現在では「間違い」という。
例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――
というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。
「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。
今年6月に冊子「800-63」は全面改訂され、こうした“最悪のルール”は撤廃された。
http://www.itmedia.co.jp/news/articles/1708/18/news072.html
2:2017/08/20(日) 09:17:30.17 ID:jiB8FRH60.net
そんなにパスワード覚えれねーよ
89:2017/08/20(日) 10:36:33.48 ID:zhgIw3RQ0.net
>>2
ほんとそれ
ほんとそれ
8:2017/08/20(日) 09:23:24.65 ID:rWoA9Wr80.net
>>2
そうそうw
覚えるの不可能なランダムのを 会社のだと使わされるしw
しかもそれをお知らせするメールを間違えてやがってw
0とO ゼロとオー なw
見てもわかんねーだろ?
こういう感じで間違えてて、ログイン出来ね―よw で殺到する始末 だったらしい
おじーちゃんは何度言っても、付箋紙に書いてモニターに貼るw
上司だと言いにくいしー で放置だ
そもそも一番上のおじーちゃんが付箋で貼ってるからな^^
そうそうw
覚えるの不可能なランダムのを 会社のだと使わされるしw
しかもそれをお知らせするメールを間違えてやがってw
0とO ゼロとオー なw
見てもわかんねーだろ?
こういう感じで間違えてて、ログイン出来ね―よw で殺到する始末 だったらしい
おじーちゃんは何度言っても、付箋紙に書いてモニターに貼るw
上司だと言いにくいしー で放置だ
そもそも一番上のおじーちゃんが付箋で貼ってるからな^^
134:2017/08/20(日) 12:06:30.11 ID:YCLl/lFQ0.net
>>8
ウチとおなじだわ
仕方ないので毎週のランダムパスワードをテキストファイルに書いてデスクトップに置いてコピペして使ってる
少なくとも俺の社用PCに関しては導入前よりセキュリティが落ちたと断言できる
ウチとおなじだわ
仕方ないので毎週のランダムパスワードをテキストファイルに書いてデスクトップに置いてコピペして使ってる
少なくとも俺の社用PCに関しては導入前よりセキュリティが落ちたと断言できる
63:2017/08/20(日) 10:14:13.27 ID:RDetCtVY0.net
>>2
今月の3、今月3
今月の○(英数字)
今月の二、今月の三
今日の10、今日10、経典、教授
今日の13、今日13
今日の15、今日15
今日の2、今日2
今日の3、今日3
今日の4、今日4、教師、先生、teacher、狂死
今日の5、今日5
今日の6、今日6
今日の7、今日7
今日の8、今日8
今日の8の逆
今日の9、今日9
今日の月/日 (月と日の間に半角スラッシュを入れる)
今日の三
今日の四
今日の二
今日の日付
今日の年/月/日(曜日)
今日の年月日
今日の年月日
今日の年月日(曜日)
昨日の4、機能止
昨日の9、昨日9
基本
今月の3、今月3
今月の○(英数字)
今月の二、今月の三
今日の10、今日10、経典、教授
今日の13、今日13
今日の15、今日15
今日の2、今日2
今日の3、今日3
今日の4、今日4、教師、先生、teacher、狂死
今日の5、今日5
今日の6、今日6
今日の7、今日7
今日の8、今日8
今日の8の逆
今日の9、今日9
今日の月/日 (月と日の間に半角スラッシュを入れる)
今日の三
今日の四
今日の二
今日の日付
今日の年/月/日(曜日)
今日の年月日
今日の年月日
今日の年月日(曜日)
昨日の4、機能止
昨日の9、昨日9
基本
79:2017/08/20(日) 10:24:22.71 ID:4LATVEkB0.net
>>63
なにこれこわい
なにこれこわい
おすすめ!
<スポンサードリンク>
4:2017/08/20(日) 09:19:17.52 ID:b8ICfuWX0.net
ガバガバじゃねーか
6:2017/08/20(日) 09:20:19.04 ID:BLoJziaH0.net
>盗まれた可能性があるときだけでよい
わかれば苦労しない
わかれば苦労しない
145:2017/08/20(日) 13:57:45.58 ID:ppwYf/B90.net
>>6
Facebookとか普段と違うPCでログインされたらメールくるじゃん
Facebookとか普段と違うPCでログインされたらメールくるじゃん
7:2017/08/20(日) 09:21:51.43 ID:IrklsMxy0.net
マジで死んでくれ。
これに加えて過去5回使用したものは駄目、
文字数種類のルールなんかも追加で
何処かにPW書いとかないといけないっていう
本末転倒な運用になってるんだが。
これに加えて過去5回使用したものは駄目、
文字数種類のルールなんかも追加で
何処かにPW書いとかないといけないっていう
本末転倒な運用になってるんだが。
9:2017/08/20(日) 09:24:34.49 ID:MofM0hzH0.net
覚えきれんて、
10:2017/08/20(日) 09:25:37.56 ID:45GqJVA20.net
人類がここまでアホだと想定できなかったんだろ
12:2017/08/20(日) 09:27:14.49 ID:Uzux8FnO0.net
つまり1234で十分だったって事か
13:2017/08/20(日) 09:27:17.82 ID:iRKK7HQf0.net
その気になられたら90日じゃ遅すぎるしめんどくささと釣り合ってない
14:2017/08/20(日) 09:28:38.96 ID:IaTD36+g0.net
どうせ次回から自動的にログイン、時間がたって入力要求されたらパスワードを忘れたから再設定のコンボだし
22:2017/08/20(日) 09:32:38.05 ID:bYKC54cx0.net
>>14
これだな
これだな
16:2017/08/20(日) 09:29:36.90 ID:ggdfbJbd0.net
ヤフーメールは定期的にパスワード変えろってウザイ!
もうやめてくれるのかな
もうやめてくれるのかな
17:2017/08/20(日) 09:30:06.13 ID:rWoA9Wr80.net
同じPCなのに
ログイン用
このシステム用
このシステム用
とかで通常6種類くらいのパスワーを使わされるんだわ
大文字と小文字もしっかり区別
パスワード記録するアプリは使用禁止w
手打ち以外入力不可能
ログインするとこでおじーちゃんがつまづくw
しかも3回間違えると30分ログイン不可能
業務が止まるw
ログイン用
このシステム用
このシステム用
とかで通常6種類くらいのパスワーを使わされるんだわ
大文字と小文字もしっかり区別
パスワード記録するアプリは使用禁止w
手打ち以外入力不可能
ログインするとこでおじーちゃんがつまづくw
しかも3回間違えると30分ログイン不可能
業務が止まるw
25:2017/08/20(日) 09:34:07.02 ID:ggdfbJbd0.net
>>17
機械でもあるなw
超敏感な安全装置つけて、オペレーターの安全守ろうとしたら、機械があまりにも止まるので
安全装置切って動かしてるとかw
設計した人が、何が重要か分かってない場合に多い
機械でもあるなw
超敏感な安全装置つけて、オペレーターの安全守ろうとしたら、機械があまりにも止まるので
安全装置切って動かしてるとかw
設計した人が、何が重要か分かってない場合に多い
60:2017/08/20(日) 10:12:39.66 ID:Po64FuML0.net
>>17
システム部門バカじゃねーの
システム部門バカじゃねーの
85:2017/08/20(日) 10:27:33.39 ID:ddjzjX2C0.net
>>60
本当に馬鹿だと思うが
この手のルール少しでもゆるくしようとすると
IT部門の上の人間がやれセキュリティレベルがどうとか言い出してにっちもさっちもいかん
本当に馬鹿だと思うが
この手のルール少しでもゆるくしようとすると
IT部門の上の人間がやれセキュリティレベルがどうとか言い出してにっちもさっちもいかん
23:2017/08/20(日) 09:33:44.27 ID:4ARUmh2a0.net
こういうのを管理する部門って社員の負荷を減らす努力ってのを全くしないよな
問題があったときに自分たちが追及されたくないから社員の仕事を増やしてでも設定・手順を厳しくする
公務員と一緒の無能集団
問題があったときに自分たちが追及されたくないから社員の仕事を増やしてでも設定・手順を厳しくする
公務員と一緒の無能集団
31:2017/08/20(日) 09:43:39.53 ID:fZ3sUi+30.net
>>23
ほんとこれ
ほんとこれ
32:2017/08/20(日) 09:44:56.49 ID:P0m1494V0.net
>>23
日報とか業務報告とかくそ細かくてそれだけでどんだけこっちは時間とられるんだと。
管理する側は楽になるだろうけどさ。うちの糞会社だ。
日報とか業務報告とかくそ細かくてそれだけでどんだけこっちは時間とられるんだと。
管理する側は楽になるだろうけどさ。うちの糞会社だ。
67:2017/08/20(日) 10:15:05.34 ID:ifMqVN9g0.net
>>23
うちの会社かよw
人事部とか総務部とか仕事の出来ない無能を押し込めておく部署何とかならないのかなぁ
クビにも出来ないだろうし
うちの会社かよw
人事部とか総務部とか仕事の出来ない無能を押し込めておく部署何とかならないのかなぁ
クビにも出来ないだろうし
120:2017/08/20(日) 11:37:41.92 ID:d2x/y3VK0.net
>>23
作業を面倒にするとセキュリティが向上すると思ってる上に、社員に押し付ける工数はゼロだと勘違いしてるんだよな
作業を面倒にするとセキュリティが向上すると思ってる上に、社員に押し付ける工数はゼロだと勘違いしてるんだよな
128:2017/08/20(日) 11:52:08.92 ID:8pThmAF/0.net
>>23
IT統制として監査法人から追及されて仕方なくやらされてるんですよ
社員の負担減らそうとパスワード入力関連のシステム改変提案しても費用対効果だ何だ言われて上から却下されるし
監査法人や管理部長と戦ってかなり社員の負担減らすことに成功してそれでも仕方なく残った統制手順に文句言われるんじゃやってられんわ
IT統制として監査法人から追及されて仕方なくやらされてるんですよ
社員の負担減らそうとパスワード入力関連のシステム改変提案しても費用対効果だ何だ言われて上から却下されるし
監査法人や管理部長と戦ってかなり社員の負担減らすことに成功してそれでも仕方なく残った統制手順に文句言われるんじゃやってられんわ
131:2017/08/20(日) 12:01:36.83 ID:P/zPndDM0.net
>>128
指紋認証とかカード認証にしようといっても通らないもんなw
指紋認証とかカード認証にしようといっても通らないもんなw
27:2017/08/20(日) 09:38:57.38 ID:UbNI/jbt0.net
顔認証とか指紋認証とかできないの?
あと数十秒で数字変わるスマホアプリのあれあるじゃん?
あと数十秒で数字変わるスマホアプリのあれあるじゃん?
30:2017/08/20(日) 09:43:22.14 ID:D/dEPYxd0.net
>>27
指紋は読み取り部分が直ぐダメになってメンテ高い 静脈も同じ
顔認証は光源の変化に弱すぎる
指紋は読み取り部分が直ぐダメになってメンテ高い 静脈も同じ
顔認証は光源の変化に弱すぎる
51:2017/08/20(日) 10:03:08.75 ID:UbNI/jbt0.net
>>30
そうなんだ
顔認証は精度半端ねーみたいなのたまにテレビでやってるけど色々条件揃わないとだめなんだな
そうなんだ
顔認証は精度半端ねーみたいなのたまにテレビでやってるけど色々条件揃わないとだめなんだな
56:2017/08/20(日) 10:06:42.28 ID:D/dEPYxd0.net
>>51
一時期タバコの自販機に顔認証付いたけどしかめっ面して眉間にシワ寄せりゃ中学生でも買えたからすぐ無くなった
一時期タバコの自販機に顔認証付いたけどしかめっ面して眉間にシワ寄せりゃ中学生でも買えたからすぐ無くなった
80:2017/08/20(日) 10:24:41.37 ID:UbNI/jbt0.net
>>56
そういやそんなのもあったな
そういやそんなのもあったな
29:2017/08/20(日) 09:43:17.63 ID:Gmk0xtmA0.net
ネットバンキングみたいなとこならその都度発行されるメール通知パスワードの併用で十分セキュアだろうし
メールのパスワードは完全ランダム文字列で数か月おきに桁を増やしていく
どうでもいいサイトなら一回作ってそのまま
メールのパスワードは完全ランダム文字列で数か月おきに桁を増やしていく
どうでもいいサイトなら一回作ってそのまま
36:2017/08/20(日) 09:51:18.17 ID:CJg4y9ct0.net
これほんとめんどくさくてクソだわ
こいつが奪った時間を全ての人で累積したらえらい損害だと思う
こいつが奪った時間を全ての人で累積したらえらい損害だと思う
引用元: http://hayabusa3.2ch.sc/test/read.cgi/news/1503188180
おすすめ!
8年運動してない体重107kgのクソデブがウォーキングしたら
ワイ「トッモにLINE送信っと…ついでに上のトークでも読も…ん?アカン!既読ついた!退却や!急げ!」
トイレの電気10分つけっぱなしにして1ヶ月嫁から無視されてる件
【悲報】 結婚報告の須藤凜々花さんのツイッターが大炎上www
【緊急】俺氏、コインパーキングに閉じ込められるwwwwwwwwwwwwwwww
最近の若者じゃ理解できない画像www
【怖い】大島優子が結婚発表した須藤凜々花にtwitterで送ったメッセージが強烈すぎる
【画像】小林麻央さん(34)の癌がついに顎に転移
【悲報】ホンダ新型N-BOX、完全に女向け仕様にwwwww
【悲報】スイッチ転売屋、売れずにブチ切れwww
【悲報】女さん、Instagramに小林麻央の自撮り追悼コメント(ポエム)を上げて大炎上
火垂るの墓の正解ルートwwwwwwwww
マリオの1-1のステージの全貌wwwwwwwwwwwwwwwwwwwwwwwwww
【gif】DQN「なんやあの飛ばしまくってる車、寄せたろ!w」→結果wwwwwwww
日本「イギリス人女?金髪碧眼の美女だらけなんやろw」 イギリス人「」
【悲報】おじゃる丸、とんでもない回を放送してしまうwwwww
グーグル、2000万匹の蚊を放出wwwwwwwwwwww
【悲報】コミケに参加している韓国人、「100円玉」に「100ウォン玉」を混ぜて支払いしている模様
【胸糞】メロン農家、収穫間近のメロン6600個に除草剤を撒かれて収穫不能になる
【朗報】松屋、新メニュー、にんにくのやべーやつを投入wwwwwwww
中学生ワイ「肩パンしようぜ肩パン!」女子チラッチラッ
<スポンサードリンク>
<スポンサードリンク>
Comment
9.
名前:名無しさん。
投稿日:August 21, 2017 00:30 ID:uHbPy5wk0
顔面認証なくなってたんか……
8.
名前:
投稿日:August 20, 2017 20:00 ID:bt..yqAV0
現場によって強化しなければいけない点が変わるのに
全部同じレベルで強化しようとするからこうなる
全部同じレベルで強化しようとするからこうなる
7.
名前:
投稿日:August 20, 2017 17:37 ID:BZ2xeAny0
>>63 はダウンローダのパスでよくあるやつだったな
半値とか目ってのもあったな
半値とか目ってのもあったな
6.
名前:
投稿日:August 20, 2017 17:16 ID:m8CgHNrq0
1・そんなの意味無いとしてやら無いと。やったとしても
漏洩した事に責任を取らされる
2・結果無駄だけどやりましたという状態が作られる。
漏洩した事に責任を取らされる
2・結果無駄だけどやりましたという状態が作られる。
5.
名前:
投稿日:August 20, 2017 17:06 ID:EnK9jaHu0
半角だけだから問題
全角つかわせればいいだけよ
全角つかわせればいいだけよ
4.
名前:
投稿日:August 20, 2017 17:02 ID:O1nZRdsm0
ポストイットに書いとく、ってのはセキュリティ的に正しいと思うんだけどな
一番警戒すべきはネットワーク越しの不正アクセスで、
ポストイットが物理的にみられる位置まで
犯人が侵入するような会社はもうその時点でダメ
一番警戒すべきはネットワーク越しの不正アクセスで、
ポストイットが物理的にみられる位置まで
犯人が侵入するような会社はもうその時点でダメ
3.
名前:
投稿日:August 20, 2017 16:43 ID:MSAruW9h0
生体認証にしろ。
指紋はコピーが容易なんでダメだが。
指紋はコピーが容易なんでダメだが。
2.
名前:
投稿日:August 20, 2017 16:35 ID:LOsFBq2D0
俺、2パターンのパスワードを交互に切り替えてたりするんだけど
ちゃんと数回前まで変更履歴を覚えてて以前使ったパスワードを許さないシステムだと通用しないもんな
ちゃんと数回前まで変更履歴を覚えてて以前使ったパスワードを許さないシステムだと通用しないもんな
1.
名前:
投稿日:August 20, 2017 16:15 ID:LUAoSDbG0
マジで死ねや
もう会社のルール変えられへんやん
もう会社のルール変えられへんやん