password-397652_640

1: 2017/08/18(金) 18:58:06.59 ID:VVnvDK250 BE:498464405-PLT(13611) ポイント特典
パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」 - ITmedia NEWS

 「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。

 バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的にパスワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。

 しかしこうしたルールは、現在では「間違い」という。

 例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。

 「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。

 今年6月に冊子「800-63」は全面改訂(https://pages.nist.gov/800-63-3/)され、こうした“最悪のルール”は撤廃された。
http://www.itmedia.co.jp/news/articles/1708/18/news072.html

引用元: http://hayabusa9.2ch.sc/test/read.cgi/news/1503050286/

2: 2017/08/18(金) 18:59:46.09 ID:lSuUgNaW0
> 「大文字や小文字、数字、記号を組み合わせる」というルールも、
>混乱を招くだけで、的外れなアドバイスだったという。

ぐぎぎぎぎぎ

3: 2017/08/18(金) 18:59:53.10 ID:ZpfdQnhf0
誕生日

4: 2017/08/18(金) 19:00:12.40 ID:zjyx3W2C0
パスワードを使いまわさず、かつ一定期間ごとに変更してたらパスワード管理しきれん

5: 2017/08/18(金) 19:00:30.32 ID:xzruEMgX0
散々言われてるのに
今だにパス変えろ言ってくるサービス多くてうざい

6: 2017/08/18(金) 19:02:29.29 ID:FvWSeLyN0
俺も中の数字変えるだけだわ

7: 2017/08/18(金) 19:02:54.46 ID:OHW/qTJw0
先月:1qazxsw2
今月:2wsxcde3
来月:3edcvfr4

43: 2017/08/18(金) 20:24:32.68 ID:9qwPeRjN0
>>7
来月なんとなくわかるけど、キーボードが手元にないからわからん。

77: 2017/08/18(金) 23:07:43.30 ID:nAAtRYDy0
>>7
key board 配列は弱いぞ、確か

158: 2017/08/19(土) 13:37:22.55 ID:RRBZsdX80
>>7
シフト押しながら下がって、シフト押さないで上がる、とかにしてるな

8: 2017/08/18(金) 19:03:00.16 ID:pCZXnO1Z0
なんでもかんでもパスワード大杉なんだよ!
考えるだけで嫌になる。

9: 2017/08/18(金) 19:06:21.45 ID:yxoLeVRR0
もう誕生日にするお

10: 2017/08/18(金) 19:08:04.27 ID:iKgw6fIr0
自動生成と管理してくれるソフト使えばいいじゃん

187: 2017/08/19(土) 18:50:07.02 ID:740OD3ES0
>>10
そのソフトのパスワードをどう管理するか・・・

188: 2017/08/19(土) 18:52:21.25 ID:qFB5OkZW0
>>187
そのソフトのパスワードを管理するソフトを準備すればええやん

198: 2017/08/20(日) 00:58:46.80 ID:qPGOzKu70
>>190
無限ループやめなさいw

11: 2017/08/18(金) 19:09:47.83 ID:YwuxJEuz0
銀行や証券ならまだしもポイントサイト・クーポンサイト如きでしつこくパス変えろって言われるとアプリ削除しちゃうw

12: 2017/08/18(金) 19:10:14.49 ID:y5i7fyZo0
もうパスワード変更を求められすぎてわからなくなって捨ててしまったアカウントもある。
正直マイナーなサービス一つ一つまでそこまで覚えていられない

13: 2017/08/18(金) 19:10:51.58 ID:SEdaUuCW0
PINは偉大

14: 2017/08/18(金) 19:11:13.84 ID:NBdKL8HC0
指紋認証でいいよね

21: 2017/08/18(金) 19:19:43.35 ID:uUlaSqje0
>>14
指紋認証は、指紋を情報を盗られた場合に変更が効かないから
アカンやろ

124: 2017/08/19(土) 07:36:45.06 ID:TsLB2sJx0
>>21
10本あるだろ

15: 2017/08/18(金) 19:13:23.76 ID:8luZ5z++0
正直めんどくさいからもっと生体認証が普及してほしいわ

16: 2017/08/18(金) 19:14:02.00 ID:YwuxJEuz0
スマホやPCにもPW管理アプリあるけど、PCスマホも突然壊れるからなぁ
俺はもうアナログにノートにしたよ。いつでも変更出来るよう1サイトに1ページ空けとく

17: 2017/08/18(金) 19:15:14.07 ID:nmi94Ogx0
毎月30個もパスワード変更でけへんねやー

18: 2017/08/18(金) 19:16:04.77 ID:TPf5/X3t0
リネ1 hotmail それぞれ15年ぐらいパス変えたことないけど、ハックされたことないよ

19: 2017/08/18(金) 19:17:52.42 ID:dVKU+DUP0
パスワード多すぎて覚えきれない

20: 2017/08/18(金) 19:18:23.28 ID:aaSpGgTd0
管理しきれんし複数個を使い回してた
これで間違いではなかったんだな

22: 2017/08/18(金) 19:19:58.73 ID:vW27KAsG0
そらそうだ
何で破られてないパスワード変えなきゃいけないんだよ

23: 2017/08/18(金) 19:20:49.36 ID:c2AvD3us0
俺は好きなガンダムの名前や型番をパスワードにしてる

24: 2017/08/18(金) 19:21:17.77 ID:jdz3F3Hu0
3つのパスワードを使いまわしてる
どれにしたか覚えてないけど
2回くらいなら間違えても大丈夫だから
本人にも分からないって最強じゃね?

63: 2017/08/18(金) 22:30:17.44 ID:2IvNUAaH0
>>24
「過去に使用したパスワードは使用できません」

123: 2017/08/19(土) 07:32:08.59 ID:pt6nztqD0
>>63
この制約が地獄過ぎた
184: 2017/08/19(土) 18:27:15.15 ID:+/BI+uX00
>>63 
これほんとやめて欲しい 
ってか過去のパスワード保存してんじゃねーぞボケ

125: 2017/08/19(土) 07:39:24.04 ID:TsLB2sJx0
>>63
これさ、過去のパスワードをどこかに記録してるってことだよな

セキュリティ最弱だろ

150: 2017/08/19(土) 13:07:01.11 ID:lLLh2hjR0
>>125
sha256とかで記録してるだけやろ

157: 2017/08/19(土) 13:34:10.74 ID:lFadahir0
>>150
似ているパスワードは使用できません
つーのがあったけど、判定できんの?

162: 2017/08/19(土) 13:42:16.76 ID:Q8DJKgZ00
>>157
記号や数字でワードを区切って計算するとかで出来そう
まあ全てが同じハッシュ使ってるとは限らないし一概には言えん


25: 2017/08/18(金) 19:22:49.06 ID:ilJFbi8V0
Twitterに登録した途端にメール乗っ取られたわ
なんか漏れるルートが有るね

27: 2017/08/18(金) 19:23:41.49 ID:X27zds7q0
いや"どちらかちいえば"大文字小文字を混ぜたほうがいいでしょ
あるアカウントを狙い撃ちで総当りする場合に
総当りする側が「ひょっとしたらどちらか片方かもしれないから」とアルゴリズムを工夫してれば早く見つけられてしまう

199: 2017/08/20(日) 01:07:55.97 ID:DdTuCA7T0
>>27
早く見つけられるかもだけど、数秒程度の違いじゃね?

30: 2017/08/18(金) 19:27:15.72 ID:PTM57BCe0
ベースとなる覚えやすい共通パスワをまず作り
あとはそれぞれのサービスの名称の頭文字などを
頭や尻に追加して変化を持たせる

33: 2017/08/18(金) 19:33:07.12 ID:KZLGwZ3s0
>>30
よく使わないサイトまでそれでやっていると
わからなくなって、あらゆるパターンを試してしまうな

それを記録されていたとしたら
他のサイトでの、パスワードパターンがバレてしまうと思ってしまうわ

46: 2017/08/18(金) 20:46:23.83 ID:coGFztgH0
もう覚えんの面倒だからkeypass使ってるわ
パスファイルとマスターキー盗まれたら全アボンだけど