67views

研究者「パスワードは90日ごとに変更しろ!」 → 世界で定着 → 研究者「ごめん、意味なかった」

1: 名無しさん@涙目です。(宮城県)@無断転載は禁止 [US] 2017/08/20(日) 09:16:20.25 ID:RgfqfAWe0● BE:601381941-PLT(13121) ポイント特典

パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」

「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは
間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は
「結果的に間違いだった」と後悔しているという。米Wall Street Journalが8月7日に報じた。

バー氏が作成し、2003年に公表された「NISTスペシャルパブリケーション800-63 別表A」という冊子は、
セキュリティの世界に多大な影響を与えた。「大文字、小文字、数字、記号を混在させる」「定期的に
パスワードを変更する」などのルールは、バー氏が冊子の中でアドバイスしたものだ。

しかしこうしたルールは、現在では「間違い」という。

例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――
というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、
パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。

「大文字や小文字、数字、記号を組み合わせる」というルールも、混乱を招くだけで、的外れなアドバイスだったという。

今年6月に冊子「800-63」は全面改訂され、こうした“最悪のルール”は撤廃された。

http://www.itmedia.co.jp/news/articles/1708/18/news072.html

2: 名無しさん@涙目です。(広島県)@無断転載は禁止 [FR] 2017/08/20(日) 09:17:30.17 ID:jiB8FRH60
そんなにパスワード覚えれねーよ

 

>>2
そうそうw
覚えるの不可能なランダムのを 会社のだと使わされるしw
しかもそれをお知らせするメールを間違えてやがってw
0とO ゼロとオー なw
見てもわかんねーだろ?
こういう感じで間違えてて、ログイン出来ね―よw で殺到する始末 だったらしい

おじーちゃんは何度言っても、付箋紙に書いてモニターに貼るw
上司だと言いにくいしー で放置だ
そもそも一番上のおじーちゃんが付箋で貼ってるからな^^

 

>>8
ウチとおなじだわ
仕方ないので毎週のランダムパスワードをテキストファイルに書いてデスクトップに置いてコピペして使ってる
少なくとも俺の社用PCに関しては導入前よりセキュリティが落ちたと断言できる

 

6: 名無しさん@涙目です。(茸)@無断転載は禁止 [FI] 2017/08/20(日) 09:20:19.04 ID:BLoJziaH0

>盗まれた可能性があるときだけでよい

わかれば苦労しない

 

>>6
Facebookとか普段と違うPCでログインされたらメールくるじゃん

 

7: 名無しさん@涙目です。(神奈川県)@無断転載は禁止 [US] 2017/08/20(日) 09:21:51.43 ID:IrklsMxy0
マジで死んでくれ。
これに加えて過去5回使用したものは駄目、
文字数種類のルールなんかも追加で
何処かにPW書いとかないといけないっていう
本末転倒な運用になってるんだが。

 

12: 名無しさん@涙目です。(芋)@無断転載は禁止 [JP] 2017/08/20(日) 09:27:14.49 ID:Uzux8FnO0
つまり1234で十分だったって事か

 

13: 名無しさん@涙目です。(滋賀県)@無断転載は禁止 [JP] 2017/08/20(日) 09:27:17.82 ID:iRKK7HQf0
その気になられたら90日じゃ遅すぎるしめんどくささと釣り合ってない

 

14: 名無しさん@涙目です。(茸)@無断転載は禁止 [MA] 2017/08/20(日) 09:28:38.96 ID:IaTD36+g0
どうせ次回から自動的にログイン、時間がたって入力要求されたらパスワードを忘れたから再設定のコンボだし

 

>>14
これだな

 

15: 名無しさん@涙目です。(茨城県)@無断転載は禁止 [US] 2017/08/20(日) 09:28:58.27 ID:ntwEERbl0

パスワードなんてPCのメモ帳に書いとけばいいじゃん

覚えようとするからいけないんだろ

 

>>15
パソコンのログインパスワードを忘れてメモ帳に辿り着けません(ガイジ

 

>>15
宝箱の鍵を宝箱にしまうみたいな(´・ω・`)

 

16: 名無しさん@涙目です。(大阪府)@無断転載は禁止 [JP] 2017/08/20(日) 09:29:36.90 ID:ggdfbJbd0
ヤフーメールは定期的にパスワード変えろってウザイ!
もうやめてくれるのかな

 

17: 名無しさん@涙目です。(神奈川県)@無断転載は禁止 [BR] 2017/08/20(日) 09:30:06.13 ID:rWoA9Wr80

同じPCなのに
ログイン用
このシステム用
このシステム用
とかで通常6種類くらいのパスワーを使わされるんだわ
大文字と小文字もしっかり区別
パスワード記録するアプリは使用禁止w
手打ち以外入力不可能

ログインするとこでおじーちゃんがつまづくw
しかも3回間違えると30分ログイン不可能

業務が止まるw

 

>>17
機械でもあるなw
超敏感な安全装置つけて、オペレーターの安全守ろうとしたら、機械があまりにも止まるので
安全装置切って動かしてるとかw

設計した人が、何が重要か分かってない場合に多い

 

19: 名無しさん@涙目です。(dion軍)@無断転載は禁止 [US] 2017/08/20(日) 09:30:55.54 ID:m32TrrWA0
流出リスクよりも使用不能になるリスクの方が圧倒的に高いよな

 

20: 名無しさん@涙目です。(大阪府)@無断転載は禁止 [ニダ] 2017/08/20(日) 09:31:39.34 ID:9gqJiGTE0
そりゃそうだろ
漏れたらもうその時点でアウトだし
漏れてなかったら変更しても意味無いし

 

21: 名無しさん@涙目です。(東京都)@無断転載は禁止 [US] 2017/08/20(日) 09:31:50.16 ID:8LYuIo1V0
知ってた

 

23: 名無しさん@涙目です。(神奈川県)@無断転載は禁止 [US] 2017/08/20(日) 09:33:44.27 ID:4ARUmh2a0
こういうのを管理する部門って社員の負荷を減らす努力ってのを全くしないよな
問題があったときに自分たちが追及されたくないから社員の仕事を増やしてでも設定・手順を厳しくする
公務員と一緒の無能集団

 

>>23
ほんとこれ

 

http://hayabusa3.2ch.sc/test/read.cgi/news/1503188180/

0 返信

返信を残す

コメントを残す

メールアドレスが公開されることはありません。