ユーザーに定期的にパスワード変更を求めた結果、ユーザーがパスワードを管理できなくなり「amagasaki2024」「pass2024」のような攻撃者にとって推測しやすいパスワードになってしまう
— 野武士児 (@joe643) October 7, 2024
定期的なパスワード変更がセキュリティの強化につながることはない
むしろセキュリティは脆弱になる https://t.co/yEfjNnrlih
ユーザーに定期的にパスワード変更を求めた結果、
ユーザーがパスワードを管理できなくなり
「amagasaki2024」「pass2024」のような
攻撃者にとって推測しやすいパスワードになってしまう
定期的なパスワード変更がセキュリティの強化につながることはない
むしろセキュリティは脆弱になる
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNGhttps://t.co/kQtffgJYJa
— ITmedia NEWS (@itmedia_news) October 6, 2024
この記事への反応
・「大文字や数字を入れろ」の強制
これすごい嫌
・「過去に使用しているので使用不可」
めちゃくちゃ嫌い(´・ω・`)
・管理するパスワードが20あって、
それらが1年ごとに変更を強制してくると月2回弱のパスワード変更作業が発生する。
これ以上管理数が増えると間違いなく破綻しますね。
パスワード管理ソフトを使っている私でもうまくいかないと思います。
・会社でも頻繁(月ごと)に
端末から各アプリまでパスワードを求めてきてるんですが、
結果的に数字序列だけ変更とか付箋紙だらけの駄々洩れになるというw
・そしてユーザーサポートも
「パスワードを忘れました」の対応で忙しくなったり、
パスワードを忘れたので使用を諦めるユーザーも増えたり
・でもこういうパスワードにしちゃう人は定期変更を求めなくても「amagasaki.shimin」とかに設定しちゃうからやらんより
(規則性を見抜く手間がある分)マシって可能性があるのでは、と思わなくも
・これ本当にバカだと思う。
本人が暗唱できないパスワードに何の意味があるんだ?
スクショ撮ったり紙に書いたり、バカバカしすぎる。
こんな事を厳格化するより、突破しようとするやつを
世界共通でサイバーテロ認定して厳罰にしろよって思う。
「パスワード忘れました」オチと思ったら
もっと悪い事態になってた…
米国はやっと気づいた模様
もっと悪い事態になってた…
米国はやっと気づいた模様
君だけのオリジナルパスワードを作り上げろ!
定期的に変えろ変えろ言われたらどんどんシンプルになるに決まってるだろ
使える数字がなくなるわ
日本企業のITリテラシーは終わってる
複数覚える必要があり、数回ミスってロックがかかりリセット依頼とか頻繁にくるわ
実質メールでの認証になっとる
例えばスプーン1つ取るのにも金庫から出さなきゃいけないなんて手間踏まされたら金庫の鍵は開けっぱにされる、頻繁に使うログインパスワードに要求するものではない
みんなガバガバになろう
自分で覚えとくなんて奴いまどきいるんだ
ワンタイムパスワードで良くない?
なんでもかんでもパスワードマネージャーが使えると思ってる池沼発見
するなら割られたり使えなくなっても問題ないものだけやな
って提唱者が真っ先に気付いて間違いを認める発表したのに企業側が止められなかったんだってさ
自分もそれ聞いて以降変更してない。変えたのはソニーのお漏らしで強制的に変更させられた時くらい
今は二要素認証が主流やね
パスワードマネージャー禁止されてる職場なんてザラにあるでしょ
普通使えなくならない?
突破するにはどこの誰が持ってるか分からんスマホを奪わなきゃならんしな
指紋認証みたいな抜け穴は無い
それが漏れたらガチ終わるんだけどな
やっぱ紙が最強か
電子決済だとエラーとかややこしくなるよ
一度決めたら変えないほうがいい
今どき人間が推測して人力で入力するわけないでしょ昭和じゃないんだから
しかも外資だからこっちの聞く耳なんて持たんし
あと大文字と小文字、記号も入れて16文字以上じゃないと駄目だからな
ってのを最近どっかでやったがパスを組み立てる時点で面倒くさ過ぎるわ
そういう無条件に他人を信じるバカは一平に騙される
米国はやっとって
十年高く前からGoogleが言ってますがな
考えやすいんだけどね
定期パスワード変更よりもスマホ二段階認証が一番良いわ
会社はそんなことやってるやつばっかりだった
もちろん予防に定期的にパスワード変えてたりしてた、すげーめんどくさかった。
今じゃ銀行だろうが通販だろうが全部同じだわ。
たのしそう
グーグルドライブに変なファイルアップしたりyoutubeではっちゃけ過ぎてBANされたりしなきゃ便利だよな
そもそもアタックかける時に過去使ったかどうかなんて一切関係ない
一般人であれば金銭決済系は独立した長いパスワードを使えってだけの話だしな
うん、この件かなり前に話題になったよね
なんちゃらのガイドラインになったってのが今なのかもしれないけど
こういう考察出てるのに相変わらず定期的に更新しないとログイン出来なくなるサイトいまだにあるなぁ…と何年も前にも思った記憶ある
にしてる奴の数は異常
てかIDとパスワード使うこと増えすぎて
いちいち異なるパスワードとか使ってられんわ
依存してゆ
連続した文字や数字は駄目です
過去に使ったものは駄目です
8文字以上にしてください
…全部クリアしましたか?でも推測されやすい単語なのでやり直しです
死角はない
俺は「パスワードはメモ帳か物理的に紙に書いて保存」を推奨しているが
これを見て「そななそなそなことしたらセキュリチガー」とか言い出すやつは頭悪いと思うね
誰が当たりそのまんま書け言ったんだバカ
アナログはやめとけ
落としたら終わる
デジタル上で管理して複数デバイスで同期かけとけ
定期バックアップも忘れるな
スマホ無くすと詰むから
パスワード一覧を印刷してディスプレイに貼るのオススメ
賢いな
俺にはもう手遅れだが
遥かな尾瀬遠い空~ -> ダチ公の浜田が遥かなOZって言ってて面白かったなあ -> OZといえばオズの魔法使いだなあ -> 知ってっかOZの魔法使いってタイトルは「魔法使」なんだぜってダチ港の松本が言ってたなあ -> 松本にアテンドしたなあ
こういう思い出がある場合、紙には「アテンド」と書く
おまえらはそれを見れば、正しいパスワードが「OZの魔法使」と分かるのだから
ワイ「えーとパスなんやっけ…アテンドアテンド…せやせや!多分OZの魔法使いや!!」
マシン「パスワードが違います」
そりゃそうだよな
みんなが分かってしもたら個人情報の流出どころか頭の中を読まれている
由々しき事態だ
でもそんなことない、自分だけの思い出がオンドレラにもあるはずなのだから、それを紙に書くのだ
定期的に変えろ(更に過去に登録のは禁止)
ほんま一見合理性ありそうで、どんどんユーザーも管理できなくなる点まで思考が回らない自己満足の押し付け
そしてハッキングされる原因はメアドの流出が大半なので責任も回避できないのだ
そんなことするより単純に文字数多くして文章書かせるような形にしろってどっかの国のセキュリティ専門家が言ってたな。
それはパスワード履歴を記録しているということだから
総務の物理的にネットワーク接続禁止、Wifiも使えないPCに
パスワード保存しておくほうが良いよ
パスワード自体の変更も設定も総務で管理するのが一番いい
各個人にパスワードを決定させないほうが良い
パスワード忘れたなら総務に問い合わせろ
文字のパスワードは使わない
その履歴から似た単語を推測できたら意味ねーわって話である
パスワードって実はあまり意味がないんですよ
端末まるごと盗まれたような状況でロック解除の遅延に成る程度の
セキュリティ効果しか無い
「パソコンはそういうことされると壊れるんですよっ」
「何もしてないのにパソコンが使えなくなったと毎回それで修理しろと言われても困るんですっ」
社内SE発狂
スマホで撮影しとけよ
これなら今さら忘れんし組み合わせも無限大
しかもサイトによって使える記号が微妙に異なるのがマジむかつく
現状攻撃者を特定して法律で全て裁くことは実質的に不可能
パスワードが意味ないんじゃなく今の技術では他の認証方式があるからそっちのほうが適切だよって話
泥棒が悪いんだから捕まえろ!鍵かけろとか言ってくるな!って言ってるようなもん
悪いやつをどうにかしないとって話とは別軸で自衛は必要です
生体認証デバイスはよ
ワンタイムキーは偽サイトを使ったフィッシング詐欺に対して脆弱
偽サイトに入力した情報を使って乗っ取られる(自動入力ソフトでURLチェックさせよう)
パスキーが一般的になってパスワードが無くなるのが一番いい
あとはフォルダで管理できるパスワードソフトをusbにコピーして大切なパスワードは別でも保管してある
個人情報のセキュリティーの意味だろうけどアカウントで簡単に見れる時点でがばがばだろ
過去半年に使ったパスワードは使用不可だからめんどくさいし
画像データもデータである以上、通信時に偽造ができるので
デジタルだから
その数字の羅列は偽造することができる
酷いとこだと過去の番号+αや大文字小文字変換してても普通に弾いてきたりするし
A級戦犯自民党壺カルトと財務省無能官僚ザイム真理教の悪政
A級戦犯自民党壺カルトと財務省無能官僚ザイム真理教の悪政
A級戦犯自民党壺カルトと財務省無能官僚ザイム真理教の悪政
A級戦犯自民党壺カルトと財務省無能官僚ザイム真理教の悪政
10年以上前から言われてたよ
ただ、定期的なパスワード変更自体は本来効果はあるんだけど
人間には複雑な作業をだんだん怠けるようになるとい性がありそういう人には効果が薄いって話
今はパスワードマネージャーもいいの揃ってるし、そういうの使って定期的に更新するのが最強
数年前からそう言ってるよ
パスワードの定期更新って個人の(特にパスワードマネージャーで自動で入力される)場合は意味無いよ
例えば勝手口の暗証番号みたいなのであれば、辞めた人が悪用とか
横から盗み見た人が覚えちゃったとか、長年同じボタンを押してて一部だけ煤けたとかになるので
定期的に変更する意味があるけど
パスワードも一緒よ
家の錠もパスワードも破られたら変えるわけで、それをやられた時にやるか、既にやられてる、あるいはバレてるかもしれないから事前に予防交換するかの違いなだけ
ただ、人間は面倒を避けてだんだん弱いパスワードを使うようになる、その例で言えば初めから煤けてて番号を推測しやすい錠に交換しちゃうから、
結果的に脆弱になるというのがこの記事の話。ちゃんと新品かつ強固な錠(パスワード)に替えるなら交換自体は本来有効な手段
強固な鍵なら正面突破はされないから、その鍵以外の手段で流出したと考えるべきで
使い回ししてるとか、通信が暗号化されてないとか、手動で入力しててフィッシングサイトに釣られたとかなければ
定期的に交換しようと無意味(使われてない鍵を交換しても意味が無い)
自分のマシンに不正アクセスされてる場合も同様、交換した先から筒抜け
ちな2018年にアメリカの米国国立標準技術研究所が変えないほうがいいって指針出して、総務省がそれをうけて変えなくていいって結論にして、同年2018年から変えなくてよいって指針だしてるからな
当時も書いてあるけど変更は有効だが、それを覚えられるほど人間は頭がよくはなく使いまわしや連番にして逆にセキュリティが落ちるから、いっそうのこと変えないほうがマシであるって結論だからな
「セキュリティを高める事をやっている感」が大事だから今後も変わらんよ。
パスワードはどんなに長くしても時間をかければいずれは破れるので、文字数を長く使う文字も多くランダム性を高くすればそれだけ破られにくくなるが
あまり強くすると自分がログインできなくなるので、覚えられる範囲で設定し、妥協した分強度が減るからその分は交換で補った方がいい
パスワード文字列が総当たりや辞書攻撃でバレる以外の方法で突破される要因を考えるなら、そもそも2段階認証や多要素認証と組み合わせるべき
平文送信はそもそも論外
いや覚えてないでパスワードマネージャ使えよ
サイト側で対策しろよ
わいは覚えてるパスワードに年数入れるという処理してたがマジであほと思う