1: 生玉子 ★ 2024/10/07(月) 14:26:37.37 ID:JykNzboD9

　「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所（NIST）が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。

　多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。

　これは、Webサイトやソフトウェアにおいて、定期的なパスワードを変更することが実際にはセキュリティを損なうことを示す数十年にわたる研究に基づいている。

全文はソースでご確認ください。
https://www.itmedia.co.jp/news/articles/2410/07/news054.html

2: 【１等組違い】 2024/10/07(月) 14:27:37.59 ID:zWQ4wfJz0

そりゃそうだけど、固定も怖くね

3: 名無しどんぶらこ 2024/10/07(月) 14:28:32.61 ID:AMb9lF9C0

長けりゃいいんだよ

5: 名無しどんぶらこ 2024/10/07(月) 14:30:25.05 ID:pMN7kUCm0

うちの会社がなんか変でなぁ
グループウェアのパスワード変更を半年ごとに強制なんだが、
過去に使ったパスが「以前使われたパスワードです」と弾かれるんだよ

過去何年ぶんのパスワード履歴を全部保管してるってことだよな
逆に危なくねえか？これ

14: 名無しどんぶらこ 2024/10/07(月) 14:34:43.29 ID:H17E3PlA0

>>5
2カ月で強制的に変えさせられてるけど
6.7回くらい前まで記録されてて同じの止めろとエラー出るわ
こんなもん覚えられっこないから一文字づつ順番で変えてるだけだが
記録まとめて漏れたら今何か傾向で完全にばれるw

25: 名無しどんぶらこ 2024/10/07(月) 14:41:07.83 ID:SkY3/hrc0

>>5
パスワードの文字列そのものを保存してるわけじゃないから問題ない
・・・はずなんだが、時々生のパスワードそのものを保存してるケースもあるからなんとも言えんな。
（流出したパスワードで他のサイトに侵入されてしまうのはまさにこのケース）

27: 名無しどんぶらこ 2024/10/07(月) 14:41:17.79 ID:AgieNO5R0

>>5
半年はまだいい方なのでは
３か月で変更が２つあったわ

6: 名無しどんぶらこ 2024/10/07(月) 14:30:31.88 ID:8d592Bnr0

複数サイトでパスワード設定を要求され覚えきれないんだが、どうしたらいいんだ？

31: 名無しどんぶらこ 2024/10/07(月) 14:42:21.91 ID:8Qk9HDRG0

>>6
ID連携

140: 名無しどんぶらこ 2024/10/07(月) 18:30:53.54 ID:GvtkwW/C0

>>6
A5のルーズリーフとバインダー買ってきてメモして綴る

8: 名無しどんぶらこ 2024/10/07(月) 14:31:29.81 ID:5ppcLqpo0

覚えるの面倒だからみんなabcdefg使ってる
数字入れなきゃ駄目なときはabcd0123とかね

104: 名無しどんぶらこ 2024/10/07(月) 16:35:55.86 ID:eZJLtnSB0

>>8
それあかん奴ｗ

9: 名無しどんぶらこ 2024/10/07(月) 14:31:29.94 ID:jAX+NrTg0

何年これ言い続けてんだよw

10: 名無しどんぶらこ 2024/10/07(月) 14:31:30.35 ID:gp6bLM3C0

スマホも現状は完熟してんだからパスワード代わりになる生体認証技術をもっと高めるべき

11: 名無しどんぶらこ 2024/10/07(月) 14:31:52.09 ID:NJo7YkZQ0

特定キーをキーボード隣にずらして繰り返し使用奴wwwwww

15: 名無しどんぶらこ 2024/10/07(月) 14:34:43.72 ID:SGBMM7Jv0

以前のパスワード弾かれるから思いっきりわかりやすい連番パスワードを設定するに至った。

16: 名無しどんぶらこ 2024/10/07(月) 14:35:27.86 ID:sVM4EQmk0

2週間でに1回とかになると交互やローテで同じパスワード使い回すようになるしな

18: 名無しどんぶらこ 2024/10/07(月) 14:36:15.78 ID:OL7MdOZe0

今は個人アカウントへの不正ログインの数が凄まじいからパスワードはかなり大事

21: 名無しどんぶらこ 2024/10/07(月) 14:39:30.28 ID:m9b3f9b+0

文字列＋数字＋文字列
これが基本

143: 名無しどんぶらこ 2024/10/07(月) 18:56:30.58 ID:AvcUTzV80

>>21
クソボケセキュリティ「大文字英字をいれてください」「記号をいれてください」

158: 警備員[Lv.4][新芽] 2024/10/07(月) 19:41:01.50 ID:QSksjVgN0

>>143
そのくせ使える記号には制限がある糞仕様までが様式美

30: 名無しどんぶらこ 2024/10/07(月) 14:42:11.45 ID:EECE6xHc0

覚えられるわけないからパスワードマネージャ使うけど一元管理するとそっから漏れた時怖いんだよな

36: 名無しどんぶらこ 2024/10/07(月) 14:45:25.94 ID:AgieNO5R0

・８文字以上
・英数字だけでなく記号も必須

こんなの３か月ごとに強制的に変更させんだぞ
日付、特殊な記号、キーボード、紙に書く、ＰＣに張り付ける
いろんな奴いるわ

共有スペースにポストイットが落ちていることがある

38: 名無しどんぶらこ 2024/10/07(月) 14:46:27.91 ID:U9eQjSPj0

普通は変更せずに2～3個をずっと使い回すよな

42: 名無しどんぶらこ 2024/10/07(月) 14:50:51.01 ID:WEcdcDdZ0

2、3個でループだね
パスワード分からなくなるのが一番ヤバイし

43: 名無しどんぶらこ 2024/10/07(月) 14:51:32.09 ID:U96cMZrW0

パスワードの使い回しがリスクあるのはわかるけど
定期的な変更って意味ある？
例えば0721ってパスワードだったのを1919に変えても
総当たりをされたらいずれヒットする可能性はかわらないよね
あくまでも例なので4桁数字の脆弱性はまた別の話ね

70: 名無しどんぶらこ 2024/10/07(月) 15:14:38.62 ID:7poAQVcU0

>>43
意味ないだろって意見が増えてきてるね
結局わかりやすいパスワードになってしまうし
一つ漏れただけなら大丈夫という前提も
AIで予測したら、ある程度当たるようになるからね
皆んな考えることは同じで、似てきてしまうのかもねw

46: 名無しどんぶらこ 2024/10/07(月) 14:52:18.34 ID:3rBt9aSL0

変えても意味無いからな
覚えることも難しい長くて複雑なパスワードなんて管理ツールを使わないと人間には扱えない
もはや文字のパスワードは存在理由が薄い

56: 名無しどんぶらこ 2024/10/07(月) 14:56:56.00 ID:g/k972O90

パスの保管はめんどくさいよな
スマホやPC内にも保存したくないから無用にID作らないようにしてる
おかげで詐欺メールや電話は使ってないサービスだとすぐ分かる

57: ころころ 2024/10/07(月) 14:57:56.20 ID:p/3fwE7i0

パスワード変えろっていうのは聞くくせに、変えなくていいっていうのは広まらないんだよね

59: 名無しどんぶらこ 2024/10/07(月) 15:02:09.40 ID:ldzddBbj0

モニタの枠に書いとけばいいやろ

67: 名無しどんぶらこ 2024/10/07(月) 15:10:29.38 ID:7poAQVcU0

>>59
昔それで笑いとってたけど
最近だと紙に書いて保存が結局良かったとか記事あったな

64: 名無しどんぶらこ 2024/10/07(月) 15:08:55.17 ID:NQmZov5v0

会社で変えろって言われるけど全部記憶するのは不可能なのにパスワード管理ソフト買ってくれない。

66: 名無しどんぶらこ 2024/10/07(月) 15:10:13.95 ID:kg5sXiCU0

今のところ６種類を記憶してる
どのパスワードがどのシステムだったか試してみないと分からんが

161: 警備員[Lv.4][新芽] 2024/10/07(月) 19:49:07.24 ID:QSksjVgN0

>>66
それキーロガーとかで複数のアカウントのパスワード全部盗まれるやつ

68: 警備員[Lv.39] 2024/10/07(月) 15:12:03.46 ID:TYHZpHV50

うちの会社いまだにメールの添付ファイルにPPAP使ってる
他の会社やめてるのにほんと恥ずかしい

119: 警備員[Lv.21] 2024/10/07(月) 17:22:10.30 ID:KopRAw340

>>68
あれも本当意味がないよなぁ

77: 名無しどんぶらこ 2024/10/07(月) 15:21:41.88 ID:udJ54kzg0

日本は頻繁に変えさせるの多すぎ
特にメガバンクとかやめろよマジで

78: 名無しどんぶらこ 2024/10/07(月) 15:23:38.68 ID:qfX5cywu0

それならキャッシュカードの数字4桁は大丈夫なのか？

80: 名無しどんぶらこ 2024/10/07(月) 15:25:43.44 ID:Kxgd32Kf0

>>78
銀行は三回ミスるとロックかかるから…

91: 名無しどんぶらこ 2024/10/07(月) 15:46:47.34 ID:5Iz4dYSr0

人が覚えられないなら他に覚えさせる仕組みがあればいい

93: 名無しどんぶらこ 2024/10/07(月) 15:49:33.25 ID:gFm0Rl0f0

今の時代は認証した端末の生体認証なんかを組み合わせたパスワードレスだからな
パスワードの強度を追求するのは大事だが定期的な変更はそこまで重要じゃなくなった

94: 名無しどんぶらこ 2024/10/07(月) 15:54:18.69 ID:TxNYDFe30

都度メール認証やSMS認証の方が安全だろ

97: 名無しどんぶらこ 2024/10/07(月) 16:08:00.15 ID:4mlM9quD0

>>1
やっとそこに気づいたか
日本人より少しは進んでるな

100: 名無しどんぶらこ 2024/10/07(月) 16:19:00.27 ID:h2AdTFnF0

>>97
総務省はわりと前からそう言ってる

102: 名無しどんぶらこ 2024/10/07(月) 16:33:30.79 ID:YOj2lEoP0

数年前にもこれで話題になったよね
GoogleやMSらが名を連ねてそういう声明出してたし

106: 名無しどんぶらこ 2024/10/07(月) 16:39:00.98 ID:lYebDIZN0

ASCIIに加えてかなとカナと漢字まで使えたら
文字長短くてもメチャ強そう

109: 警備員[Lv.29] 2024/10/07(月) 16:40:41.87 ID:qeWqw8NS0

>>106
漢字が使えるのいいな
隣の席の奴の名前とかにしとけるな

121: 名無しどんぶらこ 2024/10/07(月) 17:24:44.73 ID:wAHl63r00

iPhoneの自動生成パスワードが最強やん
絶対破られへんで

126: 名無しどんぶらこ 2024/10/07(月) 17:28:52.15 ID:x8YEKGMn0

パスワードなんて勝手に作ってくれてほぞんしてくれるじゃん

164: 警備員[Lv.4][新芽] 2024/10/07(月) 19:57:29.93 ID:QSksjVgN0

>>126
全ての環境、端末で同期してくれればね

138: 警備員[Lv.2][新芽] 2024/10/07(月) 18:17:15.55 ID:J3hntED40

面倒だよね。
何をしようとしても、アカウント作れー>パスワード指定しろ、で、無限にアカウントが増える。パスワード手帳3冊目。

139: 名無しどんぶらこ 2024/10/07(月) 18:30:44.10 ID:ppWjrtbN0

以前からパスワード付きUSBメモリにテキストファイルで一覧保管してる
パソコンはそれで足りてたけど、スマホはそうもいかないので、
ノートン先生のパスワードマネージャーも併用している

147: 警備員[Lv.11] 2024/10/07(月) 19:12:53.15 ID:PXt4hrvX0

そもそもパスワードなんて抜かれた時点で速攻で使われるだろ
流用しててもリスクあるし
定期的な変更ってどういうケースを想定してんだ

150: 名無しどんぶらこ 2024/10/07(月) 19:22:46.72 ID:tLcn6Buy0

さすがに最近はパスワード変更せよって言ってくるサイトも見なくなったかな

153: 名無しどんぶらこ 2024/10/07(月) 19:26:30.01 ID:wzL5QXj00

いい加減パスキー普及してよ
できなければせめて最低限MFA対応してよ

154: 名無しどんぶらこ 2024/10/07(月) 19:29:14.13 ID:wzL5QXj00

MFAも対応してしてないくせにパスワードローテーション強制したり
親の名前は？のあのクソ仕様で認証まわり実装してるサイト斬滅しろ

167: 名無しどんぶらこ 2024/10/07(月) 20:38:49.15 ID:A7PqGYAL0

どうにも直感に反する対策だなと思ってたけど
やっぱそうだよね
同じメルアド同士のままファイルやパスワード分ける情弱文化も早く消えてくれ

169: 名無しどんぶらこ 2024/10/07(月) 20:51:24.45 ID:TByWdKfP0

前は毎月変更しないとネットワークに入れなかったけど
再発行申請が多すぎてゆるくなった

175: 名無しどんぶらこ 2024/10/07(月) 21:31:51.07 ID:qdj+Btvq0

おい、こんなの情報系の試験で常識化してからもう7年くらいたってんじゃないのか？

180: 名無しどんぶらこ 2024/10/07(月) 21:51:26.71 ID:H94IBByO0

NISTが定期変更NGって言ったの7-8年前だっけ？
必ず変更すべきケースとセットで運用しないといけないんだが、
アホは変えるのか変えないのかどっちなんだってなる

181: 名無しどんぶらこ 2024/10/07(月) 21:54:48.88 ID:s9WZGfY50

Unicode文字は是非とも進めて欲しいね
漢字仮名混じり文をパスワードにできれば外国人に対して防御力高い

引用元: https://asahi.5ch.net/test/read.cgi/newsplus/1728278797/

サンワダイレクト USB 指紋認証リーダー Windows Hello 機能対応 Windows 11・10対応指紋最大10件登録 400-FPRD1

サンワダイレクト

タグ：: #セキュリティ; #パスワード; #アメリカ; #NIST

コメント一覧 (7)

- 1. 774の自作er
- 2024年10月08日 21:09
- あと三年もすれば一般のサービスでもパスキー対応が普通になると思う
- 0
  
  wavefanc
  
  がしました
- 2. 774の自作er
- 2024年10月08日 23:56
- 突破されてないパスワードの変更にいったい何の意味があるのか
- 0
  
  wavefanc
  
  がしました
- - 3. 774の自作er
  - 2024年10月09日 01:34
  - >>2
    現存の突破されるリスクとパスワード変更を重ねた結果による規則性と脆弱性の進行はまた別の話じゃないの
  - 0
    
    wavefanc
    
    がしました
- 4. 774の自作er
- 2024年10月09日 08:51
- 今破られてないパスなら変更時に盗まれる可能性があるからな
  何時も見ないサイト覗くと何故かスパムメールがそのサイトのスパムが急に増えたりするからな何処かで情報は抜かれてるただ暗号化されてるのは抜けてないからそのリスクを何度も背負う事になる
- 0
  
  wavefanc
  
  がしました
- 5. 774の自作er
- 2024年10月09日 10:03
- うちの会社も今年4月に定期変更無くなった
  未だに続けてる社内シスは、弊社並みの無能ということ
- 0
  
  wavefanc
  
  がしました
- 6. 774の自作er
- 2024年10月09日 13:15
- 現場自体がもうないから言っちゃうけど、毎月パスワード変更しろ(過去被りNG)って現場があったんで
  シスプリの12姉妹の名前を順に使ったなあ……
- 0
  
  wavefanc
  
  がしました
- 7. 774の自作er
- 2024年10月10日 12:36
- FBIやらいろんな組織が十数年前から言ってる内容やんけ。
  
  ・・・１０年後も同じことを言ってるに１票。
- 0
  
  wavefanc
  
  がしました