【IT】「パスワード定期変更は不要」対応分かれ困惑も
■ このスレッドは過去ログ倉庫に格納されています
インターネット上のサービスを利用する際に設定するパスワードについて、利用者に定期的な変更を呼びかけるかどうか、国や民間企業の間で対応が分かれている。定期変更を呼びかけてきた総務省が昨年、方針を転換したためだが、困惑も広がっている。
総務省は昨年11月、国民にネット利用時の指針を示しているホームページ「国民のための情報セキュリティサイト」で、パスワードについて「定期的な変更は不要」と明記した。内閣サイバーセキュリティセンター(NISC)が「情報セキュリティハンドブック」で使い回しをしないことを前提に「変更の必要なし」としたことを受けての措置だ。
これに対し、経済産業省の民間企業向けの「情報セキュリティ管理基準」では、「定期的に、必要に応じて変更させる」としたままだ。
こうした国の動きを反映してか、民間の対応は割れている。交流サイト大手「ミクシィ」は今年4月、NISCや総務省の方針に従って、利用者への定期変更の呼びかけをやめた。一方、都内の証券会社は、顧客に定期変更を呼びかけており、「国の方針変更は把握しているが、それが適切かどうか協議が必要で、導入には時間がかかる」とする。インターネット銀行の担当者も「顧客の安全性を第一に対応を検討中」と対応を決めかねている。
https://www.yomiuri.co.jp/science/20180820-OYT1T50049.html ゆうちょダイレクトは、設定した覚えのない合言葉を要求されて郵便局でリセット
スマホのメアド変えたら旧メアドでワンタイムパスワード受け取れなくてまたもやリセット
それでいてトークンの出番がほとんどない パスワード流出時の責任回避のために言ってるだけだろJK
そもそもパスワードバレなければ変える必要がない
銀行の暗証番号だって最初に決めたらそのままだ コロコロ変えないといけないのはセキュリティ的にはマイナスだよ。
特に過去数回分の再利用を禁止したりとかすると管理できなくてパスワードが
机やモニターに貼ってあったりとか普通にあるし。 >>59
人間は頻繁に変更するパスワードをソラで覚えておけるほど賢くないからね… パスワード変更の情報がインターネット網を通ることのほうが問題
やるなら変更したパスワードの通知を郵便物もしくはFAXで送らないと すげーしょぼいショップ会員サイト程度が
英字大文字小文字数字記号必須、さらに同じ文字は連続したらだめとか縛り付けると
お前ごときがそんなに渋いパスワード必要ないだろと >>65
逆向きの特殊ルール押し付けるところもあるけどね
大文字小文字区別なし・・・(某自治体の市民カードのログインパスワード
数字だけ・・・(確定拠出年金のログインパスワード
後者とか、唖然としてる パスワードの総当たりされたら割れるんだから
二段階承認しかないわな
パス変更なんて不要 重要なのは、使ってるすべてのサービスで別パスワードを使うことだよ
パスワードを変更するのより、こっちが重要 >>23
三か月ごとの強制パスワード変更があったけど、
前のパスワードと同じかどうかをサーバ側じゃなくローカル側でチェックしてたために、
ローカル側のチェックを外して同じパスワード使ってた >>68
まあ、それやると多くの人がパス忘れるんだけどね
そして忘れないようにメモっておいたデータや紙が流出と アルファベットは26文字数字は10文字
合わせて36文字
一桁増やせば暗号強度は36倍になる
アルファベットの大文字小文字を区別したり特殊文字を含めれば更に大きくなる
1ヶ月ごとにパスワードを変更するより一文字増やして1年ごとにパスワード変更する方がセキュリティとしては正解
もちろんパスワードがばれたら即時パスワード変更が必要になる >>1
そんなことよりどこのサイトもパスワードが多くて16文字程度しか入力できないのをなんとかしろ
パスワードを256文字くらいまで入力できれば利用者個人にとって意味があり他人からは推定されにくい強固なフレーズを作りやすくなるだろボケ まあある程度長いパスワードは事実上クラック不能だもんな。
本人が紙に書いたり、何かでウッカリ漏らしたりしない限り。
パスワード破るのなんて空き巣より遥かにムズいよな実際。 パスワードを失念して永眠させたもの多数。
自分でもどうにもこうにもパスワードが破れない。 定期的に変更すると絶対に忘れるからどこかにメモしておくことになるからかえって危ない
あと忘れた時に使ってるパスワードをすべて入力することになるから
使ってるパスワードをまとめて全部盗まれる可能性が高くなる >>75
どこのサイトもというが、海外のサイトは32文字くらいは余裕だな
日本のサイトは8文字までとか、12文字までとか、記号禁止とかが多くてゲンナリ
あと、どうせコピペだから良いんだけどさ、
さすがに256文字を可能にするならインターフェースの見直しをしないといけんな アップルは顔認証を進化させたというが、UUUM所属のチューバーが8に戻してたんだよな… WPAの事前共有キーを63文字全部使うとハードウェアに負荷が掛かるとかあるのかね?
テレビのWi-Fi機能が壊れてしまって、DLNA機能を使うために
有線LANをWi-Fiに変換するアダプタで代替してる アップル製品のパスワードのしつこさにはヘキヘキした
ipodtouchのような製品でもうるさすぎてかなわん
顔と指紋認証でOKにしろ
ジョブズは病気すぎるわ >>1
公務員は理由もわからずにルール化するからな そもそも銀行の暗証番号が数字の4桁で、ほとんどの客が生涯変更しないのに、なんで仲良しの銀行に指摘しないの? >>82
結論からいうと変わらない
端末に入力するパスワードは認証用であって暗号用は固定長のパスワードが自動で5分おきに更新されていく その時ハマってる萌えキャラの名前で後ろ三文字をたんにしとけば忘れることないわ サイトごとにパスワードを変えなきゃならないのは当たり前だがパスワードの全てを変える必要はない
まずアルファベットの大文字小文字数字特殊文字を含む十分な長さのパスワードを考える
例えば「bizNews@5ch」とする
amazonなら最初と最後の一文字をアルファベット順に一つ戻して最初に考えたパスワードをくっつける
zmazombizNews@5ch
とする
同じように
googleなら
foogldbizNews@5ch
とする
ちなみにサイトの最初と最後の一文字を変えるのはパスワード内にサイト名があることを秘匿するため
バレると他のサイトのパスワードもバレるからね
これで一つのパスワードを覚えるだけで複数のパスワードを覚えられる PWを覚えるんじゃなくてPW作成時のルールを作ってそれを覚えておけば良い。
そうすればサイトごとにPWを変えられるしPWを覚えていなくてもすんなりログインできる。 >>91, 92
だからむしろ定期パスワード変更を強要されると困るんだよね。 >>84
それな
むかついたのでAppleの悪口にしといたわ 最近タイトルにメールアドレスとパスワードを書いたスパムメールが来た。数年前まで使っていたパスワードだったので、何処かが破られたんだろうなと思った。そのメールアドレスへのスパムも5倍に増えたので一昨日メールアドレスも削除した。 定期変更が必要なのは共有アカウント運用の場合だけ
属人アカウントの場合は、他サービスで過去に使われたフレーズがローテートされるリスクがむしろ高まる エクセルに一覧表作ってローカルに置いてる
現実的にはこれで十分だろ
何十もある意味をなさない文字列を更新し続けたり、記憶し続けることは不可能だろ 定期的に強制的に変えさせるのもあるけどたいていは促すだけだな んなもんしょっちゅー変えられるかよ 常識で考えろや >>1
当たり前だ
少しづつ解明されるんなら変えたほうがいいけど
パスワードが今日はここまで解明したぞなんて聞いたことないwww
だから破られない限り変える必要なんてないんだよ ■ このスレッドは過去ログ倉庫に格納されています