パスワードを定期的に変更すると逆に安全性が低下するらしい

この記事をSNSで投稿する

 アカウントを安全に保つため、学校や職場から2~3カ月ごとにパスワードを変更するよう求められているのではないか。これは広く実施されているセキュリティーの推奨事項だ。

 ただし、これは完全に間違っている。

 米連邦取引委員会(FTC)でチーフテクノロジストを務めるローリー・クレイナー氏は先週、米ラスベガスで開催されたセキュリティー会議でこの“通説”を打破した。

■かえって安全性が低下することも

 つまり、定期的にパスワードの変更を要求すれば、揚げ句の果てにはパスワードの安全性が低下する羽目になる。パスワードの変更を求められると、大半の人は昔のパスワードを使うようになり、大して変更しないからだ。

 あるいは小文字を大文字に変えたり、パスワードの最後に文字をくっつけたりするかもしれない。研究者らはこうしたちょっとした工夫を「変換」と呼んでいる。ハッカーはこれをよく分かっている。

 このため、実社会のパスワード破りは、こうした予想可能な変換を自分のスクリプトやパスワード破りのルーティンに組み込む。

 IT(情報技術)ニュースサイトのアルス・テクニカによると、クレイナー氏は「パスワードを90日ごとに変更するよう求められると、これをパターン化したり、いわゆる『変換』を行ったりする傾向があると米ノースカロライナ大学(UNC)の研究チームは述べている」と指摘。「昔のパスワードを使ったり、少しだけ変えたり、新しいパスワードを考え出したりする」と述べた。

実は危ない、パスワードの定期変更  :日本経済新聞

Sponsored Link

4: Socket774 2016/08/11(木) 22:35:11.18 ID:M/hyXwWp0
秘密の質問

7: Socket774 2016/08/11(木) 22:36:09.59 ID:tY0akYwC0
>>4
ソーシャルハッキングし放題だよな、あれ

9: Socket774 2016/08/11(木) 22:36:53.76 ID:q0x6K59C0
複雑で覚え易いパス考えてるのに変えろ変えろ催促すんな

10: Socket774 2016/08/11(木) 22:37:52.92 ID:YdPFMNvS0
早く網膜やら指紋やらに置き換わらないと限界やで

11: Socket774 2016/08/11(木) 22:38:17.23 ID:nDvFyPOb0
早く2バイト文字列パスワード対応しろ

13: Socket774 2016/08/11(木) 22:43:17.79 ID:V29nlYr70
これ詭弁でしょ。「毎回無関係なパスワードを作ってください」と指導すべきであって
「パスワードを変えるな」は余計危ない。やり口が卑劣だよこれ

26: Socket774 2016/08/11(木) 23:40:11.59 ID:HlqBNUQ80
>>13
「変えるな」じゃないよ
変える方が危険だという実態がある、という話

毎回無関係なパスワードを作るのが多くの人にとって面倒なことなわけで
安全面を考えると、人間に面倒ななことはさせないってのは最重要なことのひとつだよ

14: Socket774 2016/08/11(木) 22:45:46.51 ID:K4q5AfHg0
「昔のパスワードを使ったり、少しだけ変えたり、新しいパスワードを考え出したりする」と述べた。

逆にこれ以外のパターンありえんのかよwwwwwwwwwwwwwww

15: Socket774 2016/08/11(木) 22:48:22.08 ID:VfZfpM330
>>14
ランダムに生成する。パスワード管理ツールで覚えておく必要なし。

43: Socket774 2016/08/12(金) 03:55:11.61 ID:bcYSWZS/0
>>15
俺もこれ
新たに加わったり更新したら、暗号化したパスワードデータをとあるサーバーに上げとく
不安は残るが今のところこれだな

23: Socket774 2016/08/11(木) 23:33:53.46 ID:Dn3O94zv0
漢字を使えるようにすればいい。漢字を知らない人だったらパスワード知られてもなんて入力すれば出てくるか分からないから、
破られにくい。

41: Socket774 2016/08/12(金) 01:19:46.84 ID:XK+Rq6Iq0
>>23
素晴らしい。一種のハッシュだな。ソフト側がバグるだろうけど

25: Socket774 2016/08/11(木) 23:39:15.35 ID:jjdwKqH+0
で、お前らはどう設定してんのよ?

31: Socket774 2016/08/11(木) 23:50:58.05 ID:xC/c5E3x0
>>25
ランダムに打ち込んだものを5個用意して
変更求められたら順番に変えていくだけでいいだろ

44: Socket774 2016/08/12(金) 04:05:10.92 ID:afeuMWLT0
>>31
過去に使ったパスワード使えないってのはまれによくある

29: Socket774 2016/08/11(木) 23:42:54.69 ID:vtgABzVp0
俺はlastpassさんに身をゆだねてる

30: Socket774 2016/08/11(木) 23:46:04.65 ID:Da9x/Jx30
パスワード変えろとか無理
覚えられない

32: Socket774 2016/08/11(木) 23:54:11.16 ID:3xmtSpmP0
定期的に変更だけならまだいい。
世代管理すんな。
8世代記憶とか頭おかしい。

33: Socket774 2016/08/11(木) 23:57:29.53 ID:A1W9iXzx0
嫁の誕生日にしたいが嫁が居ない…

38: Socket774 2016/08/12(金) 00:29:00.33 ID:z63n3gZb0
>>33
んなもん秋放送予定の作品でも調べて見つけてこい!

36: Socket774 2016/08/12(金) 00:01:36.55 ID:L8bD7YRe0
紙に書いてその紙の管理をしっかりしとくの最強

54: Socket774 2016/08/12(金) 06:43:08.99 ID:XRb9sA5k0
>>36
洗濯しちまったよ…(^^A)

37: Socket774 2016/08/12(金) 00:17:01.27 ID:fogHiicC0
あなたのペットの名前は?→経理の智子

39: Socket774 2016/08/12(金) 00:35:02.89 ID:+KDGoaJY0
アマゾンとか楽天みたいな漏れたらヤバいサイトは2段階ログイン義務付けろよ

45: Socket774 2016/08/12(金) 04:10:17.50 ID:bcYSWZS/0
会社は静脈認証になったが、いつの間にやらまた戻ってた事があったな
無駄なコストかけやがって

50: Socket774 2016/08/12(金) 06:19:01.94 ID:ag41DPBb0
うちの会社は2つ前までと同じパスワードはダメなんだが・・・
みんな3回パスワードをかえてるだけ。

ほんとバカだよな。
規則だけつくってそれがどういう結果を産むがわかってない。
情報セキュリティ規定をきめてるバカどもは最新状況を理解してない。

52: Socket774 2016/08/12(金) 06:42:01.26 ID:XRb9sA5k0
ネット口座を複数開設するとその度に暗証番号を考えないといけない
まんま誕生日の配列は禁止されているので順序入れ替えたりの捻りを
加えるのだが後になってログインしようとするとどこをどう捻った
のか忘れてるw

その失敗で過去に3回も窓口に脚を運ぶことになった…

56: Socket774 2016/08/12(金) 07:00:15.36 ID:T+jQg2zo0
最近はブルートフォース対策回避でゆっくり少しづつ総当たりする手口が増えとるのに何いってんだか

53: Socket774 2016/08/12(金) 06:42:02.81 ID:dtfw5CQH0
某ゲーム会社から至急変更してくださいってメールが来たけど
変えた番号忘れてログイン出来ないままになった

55: Socket774 2016/08/12(金) 06:44:55.14 ID:XRb9sA5k0
>>53
アルアルw

Sponsored Link
同カテゴリの新着記事

この記事をSNSで投稿する

『パスワードを定期的に変更すると逆に安全性が低下するらしい』へのコメント

  1. 名前:名無しの自作er 投稿日:2016/08/12(金) 14:00:43 ID:fe58f9654 返信

    会社のクローズドネットなのに毎月変更二回前まで使えないとかほんとバカ
    セキュリティ担当のオナニー状態

  2. 名前:名無しの自作er 投稿日:2016/08/12(金) 14:05:02 ID:8bec1915d 返信

    パスワード変更直後にそのパスを忘れて
    再度パスワード変更手続きをする俺

  3. 名前:名無しさん。 投稿日:2016/08/12(金) 14:10:04 ID:5327cf868 返信

    俺の会社は履歴管理が無いから、即戻ししてるわ

  4. 名前:名無しの自作er 投稿日:2016/08/12(金) 14:16:08 ID:fef276b2f 返信

    意味ある文字列を使用するってのが理解できん。
    何文字だろうと意味が在れば実質一文字扱いだとは思わないのか?

  5. 名前:名無しの自作er 投稿日:2016/08/12(金) 14:20:13 ID:2a645bc89 返信

    指紋や網膜は変更が効かないから、一度盗まれたら変えようがないから万能じゃないんだけどな

    • 名前:名無しの自作er 投稿日:2016/08/12(金) 17:51:23 ID:8a7f8a0cf 返信

      どの指を使うかで…どうにか…

      • 名前:名無しの自作er 投稿日:2016/08/16(火) 18:44:10 ID:35a763d60 返信

        なりません

  6. 名前:名無しの自作er 投稿日:2016/08/12(金) 14:27:55 ID:726bfbcf4 返信

    生体認証はローカルログインには使えるが、リモートログインに使えないから、結局、パスワードにに頼らざるを得ないんだよな(苦笑)

  7. 名前:名無しの自作er 投稿日:2016/08/12(金) 14:37:12 ID:04edbd3fe 返信

    逆に予想不可能なパスワードってないよな
    企業様がパスワードのみの承認システムを使ってるわけないじゃん
    なお某SEもはだしで逃げ出す銀行様は知らん

  8. 名前:名無しの自作er 投稿日:2016/08/12(金) 14:53:52 ID:7fc8381d2 返信

    適当に構成して複数混ぜて、数セット用意か。
    そこに自分の知らない法則性が生まれてるかもしれんが。
    それをメモしてPC外へ物理保管。
    羅列で読めねぇからメモがないと外でからのログインができねぇがなw
    自分で覚えられないパスワードも困ったもんだわ。

  9. 名前:名無しの自作er 投稿日:2016/08/12(金) 15:03:22 ID:704ada57e 返信

    ネット上では出来る限りワンタイムパス併用かなぁ
    それができない場合は、1マスに3桁チャンクが書かれた5行x4列カードを4マス使って擬似12桁パスワード実現してる。盗難されてもマイルール(マスの選び方と繰り返し回数)を知らない限り、nCr(n>r、nとrは1→20)通りの組み合わせができてしまうのである程度は安全。

  10. 名前:名無し 投稿日:2016/08/12(金) 15:16:37 ID:4abd47e6e 返信

    パスワードの変更強要よりも、文字数を極端に制限するようなサイトに腹が立つ。
    10文字以内でとかアホかと。

  11. 名前:名無しの自作er 投稿日:2016/08/12(金) 15:43:40 ID:ec3bed0d0 返信

    そもそも漏れない限り、英単語直に使わない限り、推測で当てられる可能性ってあるの?

    • 名前:名無しの自作er 投稿日:2016/08/12(金) 16:11:04 ID:4ec24ca57 返信

      ランダムかつ十分に長いパスワードで使い回しも無く、保存方法も適切であればまず無いでしょ

  12. 名前:名無しの自作er 投稿日:2016/08/12(金) 16:19:04 ID:1fd8a59be 返信

    秘密の質問は嘘八百書いてるな
    「行ってみたい海外の国」に「ヴァナディール」みたいな感じでw

    • 名前:名無しの自作er 投稿日:2016/08/12(金) 18:19:00 ID:812b0ffdf 返信

      だな
      真面目に答える必要ないしな
      俺も「好きな食べ物」に「歯ブラシ」とか答えてるわ

  13. 名前:名無しの自作er 投稿日:2016/08/12(金) 17:00:37 ID:5e09d58f4 返信

    誰もがスマホ持ってるんだから、ワンタイム導入でいいだろ
    入力は多少メンドーだが10秒ごとにパス変わるから安全

  14. 名前:名無しの自作er 投稿日:2016/08/12(金) 19:44:27 ID:a951f84c8 返信

    コマメに変えられたら独自に入手した情報が無駄になる

    だからパスワードカエナイデェってw
    言ってるようにも見える

  15. 名前:名無しの自作er 投稿日:2016/08/12(金) 19:56:24 ID:a509adf96 返信

    53 公式開いたらたいていそのメールは悪質なスパムですってオチなんだよなぁ・・・

  16. 名前:名無しのAMDer 投稿日:2016/08/12(金) 20:39:21 ID:9d7686320 返信

    ローテーション組なんで「前使ったヤツは使えへんよ」ってやつは勘弁して欲しいわ…
    これでも結構堅牢な16桁の乱数(自分にだけは意味がある)基本二つ記憶してるんだから…
    (そこから更に組み合わせを変更したりもする)

    • 名前:名無しの自作er 投稿日:2016/08/13(土) 01:58:06 ID:395db7b72 返信

      インテルがそうなんだよなぁ。
      ショップ向けのサイトでアクセスする人が複数だったから管理が面倒だった。
      結局、ファイルに歴代のパスワード書いてて脆弱性が凄かったw
      まだ、ジャパンネット銀行のようにトークン使ったワンタイムパスワード使った方がまし。

  17. 名前:名無しの自作er 投稿日:2016/08/12(金) 20:59:39 ID:8cabf3d58 返信

    パスワードの定期変更はセキュリティ担当者による責任転嫁でしかない

  18. 名前:名無しの自作er 投稿日:2016/08/12(金) 22:41:59 ID:e1c6a8f00 返信

    静脈認証は精度が悪い
    あれは逆に問題が出るわ
    郵便局で使えたから興味本位で静脈登録したけど
    本当に認識しないときはしなくてヤバイ

  19. 名前:名無しの自作er 投稿日:2016/08/12(金) 23:30:01 ID:09873d71a 返信

    大手ゲーム会社行った時
    Windows Office(mail) CentOS で一ヶ月毎に変更があった気がする。
    前使ったやつも使えない。
    朝いつも誰かが繋がらない~ってなるんだ。時間もったいないほんとめんどい。

  20. 名前:名無しの自作er 投稿日:2016/08/12(金) 23:58:57 ID:5cb79cbff 返信

    ネットバンクで定期変更強制されてほかのにしたら
    忘れてログインできなくなった思い出

  21. 名前:名無しの自作er 投稿日:2016/08/13(土) 02:02:42 ID:5ea91072e 返信

    セキュリティ関係者の間では1年ほど前から話題になってた。
    定期変更を義務にすると
    ・パスワードを簡単にしてしまう
    ・ある種の規則に従ったものを作りがちになり、破りやすくなる
    といった傾向があるのでよろしくないという話。
    パスワードの定期変更よりも、
    2段階認証やログインアラート等でセキュリティを向上させるべき、と。

  22. 名前:名無しの自作er 投稿日:2016/08/20(土) 18:09:13 ID:0c651632b 返信

    てっきり

    →こまめに意外性のあるパスワードに変える
    →「覚えてられなくて PCの脇に付箋でメモ」
    →セキュリティが脆寂になる

    というオジサンが増えるのが
    理由だと思ってしまったじゃないか。

    自分だけ?

コメントをどうぞ

メールアドレスが公開されることはありません。

コメントに画像を添付できます

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)