?BRZ(11000)
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。
エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ>
米政府機関はもう、パスワードを定期的に変えるのを推奨しない。
アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。
ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、
「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。
銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。
実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。
なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。
どうせ数カ月後に変更を求められると思えばなおさらだ。
「パスワードは定期的に変更してはいけない」--米政府
http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php
ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、
人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。
どこかの1文字だけを順番に変えていくなどのパターンになりやすい。
仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。
ハッカーはどちらのパスワードでも容赦なく解読してくる。
つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。
定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。
フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。
NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。
それを何度も変更するのはさすがに無駄だわ
なんとかしてほしい。パスワードに記号が使えないサイトとかあるもんな。
3年以内に日本の先進企業もそれにならって
日本の政府系の新規の試みでも反映されて
10年後ぐらいに行政や一般企業でも受け入れられて
20年たってもそのままの企業や行政システム3割と見た
パスワードは適当に作ってるなw
だって3ヶ月後にはパスワードを変更してくださいだからな。
気合入れても仕方ない。
変えてはいないな
お陰で結局どっかに控えてあんの。
サイトごとにOTPアプリ入れるのはめんどいからgoogle統一で
どうせ何やったってダメなんだからこだわんなよ、
メンドーなだけでムダだよ、みたいな。
BSEの時に日本は全頭検査だ、
全部やらないとダメだ、みたいになってたが、
向こうじゃ「宝くじ当たるより低い確率だろう?」
「そんな検査要らない、気にしないでアメリカ産食べてるよ」
みたいなノリでw
「メンドーな事する意味ナッスィング」って感じだったわ
それをコピってる
スマホやタブだとアレだが
基本的にブラウザに記憶させて入れなかったら毎回再発行してる
破る気にもならないだろ
半角英数の100文字より、漢字3文字のパスワード破る方が難しい
ツィッターには日本語だ、
情報量大杉、とか絶賛してたな
ある日ブラウザデータがぶっ壊れて全部入力し直しになって、自分の頭含め全くどこにもコピーがなかったから泣きそうになったことあるw
それ以降思い出せるようなパスワードしか使ってない。
セコムとかですら暗号化してない
64文字の暗記とか百人一首のようだ
ユーザーにパスワードの変更求める前にやる事あるんじゃないのか
フィルタだのなんだの使うよりよほど効果的
パスワード変更勧告ほんとうざかったからやっとという感じだわ
パスフレーズで困ったのは、文末にピリオド入れたっけ? くらいかなw
いったい何考えてるんだよ
パスワード変更するか・・・そのパスワードは以前使ったので使用できません
その繰り返しでメモしてないので更に訳が分からなくなる(´・ω・`)
全ての人間が当てはまると思うなよ
どないせーちゅうねん
転載元
http://hayabusa3.2ch.sc/test/read.cgi/news/1495553640/
コメント
コメントする