【IT】「パスワード定期変更は不要」対応分かれ困惑も
■ このスレッドは過去ログ倉庫に格納されています
インターネット上のサービスを利用する際に設定するパスワードについて、利用者に定期的な変更を呼びかけるかどうか、国や民間企業の間で対応が分かれている。定期変更を呼びかけてきた総務省が昨年、方針を転換したためだが、困惑も広がっている。
総務省は昨年11月、国民にネット利用時の指針を示しているホームページ「国民のための情報セキュリティサイト」で、パスワードについて「定期的な変更は不要」と明記した。内閣サイバーセキュリティセンター(NISC)が「情報セキュリティハンドブック」で使い回しをしないことを前提に「変更の必要なし」としたことを受けての措置だ。
これに対し、経済産業省の民間企業向けの「情報セキュリティ管理基準」では、「定期的に、必要に応じて変更させる」としたままだ。
こうした国の動きを反映してか、民間の対応は割れている。交流サイト大手「ミクシィ」は今年4月、NISCや総務省の方針に従って、利用者への定期変更の呼びかけをやめた。一方、都内の証券会社は、顧客に定期変更を呼びかけており、「国の方針変更は把握しているが、それが適切かどうか協議が必要で、導入には時間がかかる」とする。インターネット銀行の担当者も「顧客の安全性を第一に対応を検討中」と対応を決めかねている。
https://www.yomiuri.co.jp/science/20180820-OYT1T50049.html 現実に、定期変更している人なんていないし、定期変更を呼びかけてる本人もしていない
言い訳作りのためだけに呼びかけてるに過ぎない 不要だな。
他人から推測されにくいのと、他所との使い回しを避ければそれでいい。 IDとパスワード入れても動かね相談先電話しても訳わからん イオン銀行とか
30日ごとに変更アナウンスくるけど
やりすぎじゃね? 金融機関だと回数間違えるとロックされるから ピンポイントでパスが盗まれることがない限り基本的には破られない
ネット上で何かされるより 実はリアルでIDパス書いたやつを直で取られる(盗まれる拾われる)みたいなリスクの方が遥かに高い どっちにしたって危険度はたいして変わらないよ。
パスワードなんて、クレカなど重要なものから通販のユーザ登録まで、
何10〜100個近くあるから覚えきれない。
メモはしてるが、
途中で変更してたらさらにわからなくなる場合がある。
端末IDと顔認証を組み合わせて本人確認を行い、パスワードの入力を不要にすべきだろう。 定期的な更新強制で、少数のローテーションになりがち
メモ書きをディスプレイ横に貼る物理セキュリティーホールやりがち 変更して、パスワード忘れて、アカウントロッックされ再開の手続き
変更するリスクとしないリスク、どっちが大きいか
私はしないほうを選択 >>5
ちゃんとセキュリティ関連のアナウンスはしてますよアピール >>1
しかし、
パスワードは、盗もうと思えば盗めるものなのか?
だとしたらパスワードの意味なくねえ? 銀行関係はワンタイムパスワードでよくなった
ワンタイムパスワードでも危険という人がいるが、それはフィッシングサイト等別問題 Niftyのアカウント初期パスワードのままで20年以上経ったわ >>1
パスワード変更要請には、何かウラがありそうだな。
パスワードが盗まれるものなら、
幾らパスワードを変更してもムダ。新しいバスワードが盗まれるからな。
つまり、パスワード変更要請の前提として、
パスワードを盗んだ者が、一定期間、そのパスワードを使って窃盗をしないということが必要だが、
そんな馬鹿なハッカーはいないだろう。 >>20 の続き
おそらく、パスワード変更要請は、内部犯の犯行防止のためだろうな。 ランダム生成のパスワードが一番強力で、Appleとかが進めてる生体認証でパスワード呼び出すやつが手っ取り早い。 三ヶ月ごとにパスワード変更を求めてくる会社
三ヶ月ごとに爺共のパスワード変更をお手伝いする私 会社内PCサポート業務してるけど付箋にIDとPass書いて液晶画面枠に貼っている人の多いこと多いこと。
定期的に強制変更させてもコレでは逆に危険だよ。 セキュリティ管理者が知ったかぶりでパスワード変更させるからさぁ!!
ド素人が!! そもそも情報流出するのが当たり前という態度がおかしい。
定期変更の理由が。 最近はメールアドレスをIDにするので、パスワードの使い回しは危険。
Google IDで全てログイン出来ればいいのに。 情報流出させてもいいよっていう判例があるのにパスワードがどうとか 定期変更しなかった顧客に非があると言いたいだけよね 詳しくもない奴らが決めた指針に従わんでも良いと思うけど。 定期変更がリスキーっていうのは、低能力なユーザーが定期変更に対応出来ないから。って事だから人起因の話である事もちゃんと言わないと
セキュリティ側で言えば、侵入を検知する何かを入れてないなら定期変更は有効。
人の対応力とセキュリティという違う軸で話してるから宗教戦争になるって気付け馬鹿 パスワード変更したら忘れるんだよ
特にたまにしか使わないやつ
だからやらん >>32
セキュリティも含めて意味ないんだよ
ユーザー側の端末の話だとしたら、侵入を検知する何かが入ってなければパスワード変えても盗み取られるだけ
サーバー側だとしたら、そもそも入れてないのなら何されてもわからんわ 身近な人に盗み見られる対策には有効な気もするけどそれはあんまりリスクないのか >>34
その話は限定的だな。バックドア?
一部を引用して全体を語ってる感じ? 「十分長くて使いまわししてないなら」
定期変更は不要
なんだけどな 変えろって要求されたら変えてすぐもとに戻すけど
Appleとかそれは前の前に使われていたので不可ですとか言う
めんどくさい >>1
すでにAmazon、Googleなんかの先進企業のセキュリティ研究で答えは出てる。
パスワードの変更回数とハッキング被害度合いとの因果関係は無く、
パスワードの強度とハッキング被害度合いに強い因果関係がある。 >>41
変えろって要求されないんだけどたまに忘れちゃうんだよね
んで変えるときにそう言われる
まあ忘れる原因が>>39なんだが 定期変更のサイクル見破られたらヤバいやん。
期間はランダムだろJK。 AmazonもYahooショッピングも対応しているのに、
楽天は何時になったら二段階認証対応するの?顧客の安全に配慮するの?コッソリ赤黒処理の楽天さん。 パスワードジェネレータ&マネージャ+生体認証や二段階承認の方が安全かつ簡単と思う 定期変更がどうこうよりも、使える文字とか文字数を統一してくれや
32桁。大小英数、記号くらいは使えるようにしてくれた方がいい >>46
サーバに設定するやつの気分次第だから無理よ 再設定するときのリスクもあるね。
再設定を呼びかける偽のメールに釣られて擬似サイトに誘導されてしまう
ユーザーもいてかえってセキュリティホールになるとかね。 >>49
ローマ字で文章入れときゃ結構強くね?
文節とかに大文字入れて、iを1、Oを0にするとかでさ 昔からこんなの意味が無いと思っていた。だって、ほとんどの人間は数字の部分変えたりするだけだろ。
使い回しを止める方がはるかに有効。 ゆうちょダイレクトは、設定した覚えのない合言葉を要求されて郵便局でリセット
スマホのメアド変えたら旧メアドでワンタイムパスワード受け取れなくてまたもやリセット
それでいてトークンの出番がほとんどない パスワード流出時の責任回避のために言ってるだけだろJK
そもそもパスワードバレなければ変える必要がない
銀行の暗証番号だって最初に決めたらそのままだ コロコロ変えないといけないのはセキュリティ的にはマイナスだよ。
特に過去数回分の再利用を禁止したりとかすると管理できなくてパスワードが
机やモニターに貼ってあったりとか普通にあるし。 >>59
人間は頻繁に変更するパスワードをソラで覚えておけるほど賢くないからね… パスワード変更の情報がインターネット網を通ることのほうが問題
やるなら変更したパスワードの通知を郵便物もしくはFAXで送らないと すげーしょぼいショップ会員サイト程度が
英字大文字小文字数字記号必須、さらに同じ文字は連続したらだめとか縛り付けると
お前ごときがそんなに渋いパスワード必要ないだろと >>65
逆向きの特殊ルール押し付けるところもあるけどね
大文字小文字区別なし・・・(某自治体の市民カードのログインパスワード
数字だけ・・・(確定拠出年金のログインパスワード
後者とか、唖然としてる パスワードの総当たりされたら割れるんだから
二段階承認しかないわな
パス変更なんて不要 重要なのは、使ってるすべてのサービスで別パスワードを使うことだよ
パスワードを変更するのより、こっちが重要 >>23
三か月ごとの強制パスワード変更があったけど、
前のパスワードと同じかどうかをサーバ側じゃなくローカル側でチェックしてたために、
ローカル側のチェックを外して同じパスワード使ってた >>68
まあ、それやると多くの人がパス忘れるんだけどね
そして忘れないようにメモっておいたデータや紙が流出と アルファベットは26文字数字は10文字
合わせて36文字
一桁増やせば暗号強度は36倍になる
アルファベットの大文字小文字を区別したり特殊文字を含めれば更に大きくなる
1ヶ月ごとにパスワードを変更するより一文字増やして1年ごとにパスワード変更する方がセキュリティとしては正解
もちろんパスワードがばれたら即時パスワード変更が必要になる >>1
そんなことよりどこのサイトもパスワードが多くて16文字程度しか入力できないのをなんとかしろ
パスワードを256文字くらいまで入力できれば利用者個人にとって意味があり他人からは推定されにくい強固なフレーズを作りやすくなるだろボケ まあある程度長いパスワードは事実上クラック不能だもんな。
本人が紙に書いたり、何かでウッカリ漏らしたりしない限り。
パスワード破るのなんて空き巣より遥かにムズいよな実際。 パスワードを失念して永眠させたもの多数。
自分でもどうにもこうにもパスワードが破れない。 定期的に変更すると絶対に忘れるからどこかにメモしておくことになるからかえって危ない
あと忘れた時に使ってるパスワードをすべて入力することになるから
使ってるパスワードをまとめて全部盗まれる可能性が高くなる >>75
どこのサイトもというが、海外のサイトは32文字くらいは余裕だな
日本のサイトは8文字までとか、12文字までとか、記号禁止とかが多くてゲンナリ
あと、どうせコピペだから良いんだけどさ、
さすがに256文字を可能にするならインターフェースの見直しをしないといけんな アップルは顔認証を進化させたというが、UUUM所属のチューバーが8に戻してたんだよな… WPAの事前共有キーを63文字全部使うとハードウェアに負荷が掛かるとかあるのかね?
テレビのWi-Fi機能が壊れてしまって、DLNA機能を使うために
有線LANをWi-Fiに変換するアダプタで代替してる アップル製品のパスワードのしつこさにはヘキヘキした
ipodtouchのような製品でもうるさすぎてかなわん
顔と指紋認証でOKにしろ
ジョブズは病気すぎるわ >>1
公務員は理由もわからずにルール化するからな そもそも銀行の暗証番号が数字の4桁で、ほとんどの客が生涯変更しないのに、なんで仲良しの銀行に指摘しないの? >>82
結論からいうと変わらない
端末に入力するパスワードは認証用であって暗号用は固定長のパスワードが自動で5分おきに更新されていく その時ハマってる萌えキャラの名前で後ろ三文字をたんにしとけば忘れることないわ サイトごとにパスワードを変えなきゃならないのは当たり前だがパスワードの全てを変える必要はない
まずアルファベットの大文字小文字数字特殊文字を含む十分な長さのパスワードを考える
例えば「bizNews@5ch」とする
amazonなら最初と最後の一文字をアルファベット順に一つ戻して最初に考えたパスワードをくっつける
zmazombizNews@5ch
とする
同じように
googleなら
foogldbizNews@5ch
とする
ちなみにサイトの最初と最後の一文字を変えるのはパスワード内にサイト名があることを秘匿するため
バレると他のサイトのパスワードもバレるからね
これで一つのパスワードを覚えるだけで複数のパスワードを覚えられる PWを覚えるんじゃなくてPW作成時のルールを作ってそれを覚えておけば良い。
そうすればサイトごとにPWを変えられるしPWを覚えていなくてもすんなりログインできる。 >>91, 92
だからむしろ定期パスワード変更を強要されると困るんだよね。 >>84
それな
むかついたのでAppleの悪口にしといたわ 最近タイトルにメールアドレスとパスワードを書いたスパムメールが来た。数年前まで使っていたパスワードだったので、何処かが破られたんだろうなと思った。そのメールアドレスへのスパムも5倍に増えたので一昨日メールアドレスも削除した。 定期変更が必要なのは共有アカウント運用の場合だけ
属人アカウントの場合は、他サービスで過去に使われたフレーズがローテートされるリスクがむしろ高まる エクセルに一覧表作ってローカルに置いてる
現実的にはこれで十分だろ
何十もある意味をなさない文字列を更新し続けたり、記憶し続けることは不可能だろ 定期的に強制的に変えさせるのもあるけどたいていは促すだけだな んなもんしょっちゅー変えられるかよ 常識で考えろや ■ このスレッドは過去ログ倉庫に格納されています