【IT】Microsoftが「パスワードの定期変更は不要」と宣言、パスワードに有効期限を定める方針は廃止へ
■ このスレッドは過去ログ倉庫に格納されています
Microsoftは2019年4月24日、Windows 10 バージョン1903ならびにWindows Server バージョン1903のセキュリティベースラインのドラフト(仕様書)を公開しました。その中で、Microsoftはパスワードの定期変更に疑問を呈し、「パスワードに有効期限を設ける」というこれまでの方針を廃止したことを明らかにしました。
バージョン1903は2019年5月末に配布される予定の次期大型アップデートです。バージョン1903ではWindows Updateの改良が予定されていて、更新プログラムの適用を最大35日まで延期することが可能になっています。また、2017年に削除リストに追加されてしまったMSペイントが引き続きビルドに含まれることが話題となりました。
そんなバージョン1903のセキュリティベースラインのドラフトの中で、Microsoftは「パスワードの定期変更を必要とするようなパスワード有効期限ポリシーを削除します」と明記しました。
Microsoftは、「人間が自分のパスワードを選ぶ時、簡単に予測できるようなものにしてしまいがちです。しかし、覚えにくいパスワードを割り立てたり作成したりすると、他の人が見られる場所に書き留めてしまうことがよくあります。また、自分のパスワードの変更を余儀なくされると、既存のパスワードを予測可能なものに変更したり、新しいパスワードを忘れたりします」と述べ、セキュリティ業界で長年勧められてきたパスワードの定期変更に対して疑問を呈しています。
ただし、パスワードの有効期限ポリシーを削除する代わりに、セキュリティベースラインには含まれていないものの、禁止パスワードリストの導入や二段階認証などといった代替手段をMicrosoftは勧めています。
「パスワードの定期変更は不要」という主張は近年注目されているもので、2018年には日本の総務省が「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません」と述べています。
また、Windows 10ではローカルのAdministrator(管理者)アカウントがデフォルトで無効になっていてインストール中に新規でAdministratorアカウントを作成する必要があります。MicrosoftはこのAdministratorアカウントの強制無効についてもとりやめる方針を検討していると述べています。
2019年04月26日 10時00分
https://gigazine.net/news/20190426-microsoft-drops-password-expiration-rec/ 自分の中でセキュリティレベルを三段階くらい設けてパスワード3つ作る 安易なパスを定期変更するより、安易なパスを使いっぱが推奨か。
見出し文化を理解できない馬鹿のせいでセキュリティ低下やな ■桜井誠の街宣■生放送LIVEがはじまった
https://whowatch.tv/viewer/10444011
日本第一党 党首
行動する保守運動 代表
書籍執筆(主な著書に『大嫌韓時代』『大嫌韓日記』『反日韓国人撃退マニュアル』など)、雑誌への寄稿や全国各地での講演会を行っています >>9
定期変更させるから安易なパスになるってことなんだが >>3
ぶっちゃけ、最終的にはスマホかざして
指紋認証の方がマシな気もするが、
そもそも、そんな時代がくるまでにATMが生き残ってるか ベストなのは32文字ランダム記号ありで、全インターネット関連企業が統一してもらった方が
実際はセキュリティーの質はあがるか、ドングルあたりで認証の方がマシだと思う 定期的に変更してください、直近10回分のパスワードとの重複は不可です
こんなこと言われたら特定のワードに1から10までの番号付加してぐるぐる使い回すことになるに決まってるからな そもそも使い回しさえしなければ
変更する必要はない
馬鹿がやっと気づいただけ パスワード一つの場所では
同じの使い続けてもいいんじゃねえかという感じするけど
色んなトコで同じパスワード使い回すのはヤバいよな
それだと簡単とか複雑とか関係なく全滅するしな >>15
定期的なパスワード変更と再利用禁止を強制すると
下手したらポストイットにパスワード書いて機器に貼るからねー
システムセキュリティを考える際に
「人間のサガ」まで考慮するようになったのは良いことだと思う 忘れにくく覚えやすいところで、DamnWithMicrosoftというpwにしておこう。 >>12
現金禁止法案でも成立しない限り、ATMは残さないとまずいっしょ マイナンバーカードにワンタイムパスワードカードつけてすべてのログイン時に入力させるようにすれば良い
というかいま手元にワンタイムパスワードカードが5個もある
統一してくれ >>1
定期変更より桁数を1024文字くらいまで拡大して
好きな歌詞や詩の一節でも入れられるようにしたほうが全然セキュリティ高いだろ >>24
11月11日生まれの知り合いはパスワードで困ってたな >>11
定期変更させなきゃ安易なパスにならないとでも? ネットでのパスワードは極力手打ちしない。
パスワード入力ソフトの方がフィッシングで騙される危険が少ないから。
その代わりパスワードはジェネレーターで各サイトごとに個別に作り同じパスワードは使わない。 難しいパスワードが覚えられないのなら、パスワード専用の秘書を雇えば良いじゃない? >>34
秘書:
「その質問にはお答えできません。マスターパスワードが間違っており、本人認証に失敗しました。
あと4回間違えたら御社都合で退職させていただきます。」 パスワード生成というサイトがあるのを今頃知った
安全なのかな ユーザーid には良さげ >>1
酷いのになるとテプラで印刷して液晶枠にデカデカと貼ってたりするからな
ちなみに俺はわざと違うIDとパスワードを貼ってる 運動してるときに水飲むなみたいなこのパスワード変更に関する迷信が
20年以上も信じられてきたんだよね 不要というか、逆に危険を感じていたわ。
パスワード期限とか短いサイトは、期限切れという警告で
偽サイトに誘導してIDとパスワード入力させるとか。
パスワードの複雑さを要求しているとこも、パスワードの誤入力しやすさを突いて、
偽サイトに誘導してIDとパスワードを入力させるとか。
偽サイトかどうかを確かめるにはURLを1文字単位で確認しないといけないしな。 いまどきブラウザやらスマホのOSやらで保存してくれるだろ
人が覚える必要性なんてないんだよ 大企業になればなるほどパスワード確認がしつこい
彼らの保身からくる予防策のせいで
利用者の利便性が損なわれている パスワードの定期的な変更を提唱していたセキュリティ専門家があれは間違いだったとか意見を翻したんだっけ これだわ
https://www.itmedia.co.jp/news/spv/1708/18/news072.html
「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は「結果的に間違いだった」と後悔しているという。 >>2
変更しなかったユーザー側の責任として転嫁できなくなるから
いつまでもしないだろうw どうせお前らのGoogleアカウントと、Microsoftアカウントと、Yahoo!アカウントはIDもパスワードも一緒なんだろ?
一つ漏れれば全部漏れる
Googleはやろうと思えばどのサイトにもアクセスできるってこと 定期的に変更要求されると結局は物理メモを残すか法則のって同じパス使いまわすだけだからな
2週間でパス変更要求するくせに一度使ったパスは二度と使えない連続で間違うとロックするとか楽天の店舗管理はゴミ
死ねばいいのに 1passwordで自動生成したやつが
$&}!^,--みたいなかんじなので
そもそも覚えられない。 >>48
ハッシュが洩れてもただちに不正ログインできる訳じゃないし >>51
記号は使えません
英数のみ最大8文字でお願いします
英数8文字とかクラックしてくださいって言ってるようなもんだよなぁ パスワードの更新が必要ですとかいって偽のサイトに誘導するスパムもあるしな >>48
googleはg123、msはm123、yahooはy123みたいなかんじになってる ネットバンキングのような、トークンにすりゃええやん この前Facebookがパスワード平文で保存してたって発覚しちゃったし
大手サービスだからって安心はできないところだな おれのヤフーのパスワードは
sonmasayosinohage ガリア戦記のラテン語原文を前からパスワードとして使ってる。
覚えやすくて、他人には無規則な文字列に見えるので便利。 そこのサービス名か会社名に好きな作品に出て来る数字組み合わせてる
これなら忘れないしメアドは同じでもサービスによってパス変わるし きかいの人「あなたの123456のパスワードは有効期限切れです。別のに設定してください」
ぼく「ほーん、じゃあ「123456」っと」
きかいの人「設定完了しました」 ただしローカルユーザに限る
(ADドメインは対象外)←オチ ていうか頭悪いよな
今頃正しい結論に気づくとは
俺なんか20年前のパスワード今でも使ってるわ
8桁英数字で単語として成立してない文字列 最近は分かりやすいパスワードはNGとかしてる馬鹿企業もあるからな 女子社員はパスワードを忘れないように画面に張ってたな。。。 どんなパスワードでも解析システムを使えば簡単にクラックできるけどね。 変更したパスワード忘れてアクセス不能に何回なった事か
結局メモを張り付けて対処してるからパスワードの意味がないぜ なんかパソコンの進化がモバイルや他のものと比べて止まってきた感じだな 【速報】メルカリのスマホ決済メルペイでセブンイレブン70%還元祭り
メルカリをインストール
↓
招待コード[JDFWCM]で300Pを入手
https://pbs.twimg.com/media/D5D1wMvU8AE8DM2.jpg
↓
セブンイレブンで買い物する
↓
翌日70%が還元される(最大2500P) パスワードを何度も間違えて入力するとロックされるセキュリティが
確保されている場合は、無闇に変更する必要はないのかもね。
ユーザーにパスワードの変更を促してパスワードを盗む釣りとかもあるし、
それにもひっかかりやすくなる。
ただし、そのロック機能がないルーターとかのパスワードは小まめに
変更したほうがいいんじゃないかなあ? しかしパスワードを盗まれたユーザーのほとんどは自分のIDとパスワードが
闇サイトに流通していることを知らないでしょう?
もし知っていたらすぐに変更するからね。
だから小まめにパスワードを変更していたらその予防効果があるんじゃないかと。 だから他の機器同様にさっさと生体認証をデフォにしろと >>3
二段階認証でもう一度別の4桁を入力させるんじゃね? >>77
2500円程度で個人情報盗られてたまるかw 2段階認証ってどちらも文字入力形式だとすると
パスワードの長さが2つ分になった1段階の認証と同じでしょ >>79
その変更するパスワードは後ろに数字がつくだけとかそういうのが多く最近のパスワード解析では変更のうちに入らない
だから今は定期変更ではなく一回目から厳しいパスワードを使うのと2段階認証のような仕組みで防ぐ必要がある スマホも画面が指紋リーダーになってて、パスコードの入力と指紋認証が同時にできるようにならないかな
今の指紋認証とか顔認証は、寝ている時など本人の意思に関係なく解除されそうで怖い 定期的に変えろって言われる我が社のシステム古すぎ
システム部門何してんねん パスワード定期変更の要求で
今までに使ったことがあります、と出てくるの本当に勘弁して欲しいわ。 昔から簡単な単語にしないとか使い回さない方がはるかに有効で、定期変更なんて意味無いと思っていたわ。 一度使ったことがあるパスワードを使えなくしてるしようもやめて欲しいわ
パスワードの変更サイクルで12セット用意してるけど毎回新しいの考えるのも覚えるのも限界
方々で3000アカウント運用してると、どのパスワードに更新したのか忘れて
ロックされたアカウントが・・・ セキュリティ界隈では当たり前なんだけどね
正直いまさら感
パスワード変えろ!のメッセージを出すサービスは、正直レベル低い ■ このスレッドは過去ログ倉庫に格納されています