パスワードを定期的に変更すると、逆に危ないらしい

1 ： ニールキック(東京都)＠＼(^o^)／：2016/08/11(木) 22:34:20.35 ID:4HwL/xcQ0?BRZ(11000)

　アカウントを安全に保つため、学校や職場から２〜３カ月ごとにパスワードを変更するよう求められているのではないか。
これは広く実施されているセキュリティーの推奨事項だ。

　ただし、これは完全に間違っている。

　米連邦取引委員会（ＦＴＣ）でチーフテクノロジストを務めるローリー・クレイナー氏は先週、米ラスベガスで開催されたセキュリティー会議でこの“通説”を打破した。

■かえって安全性が低下することも

　つまり、定期的にパスワードの変更を要求すれば、揚げ句の果てにはパスワードの安全性が低下する羽目になる。
パスワードの変更を求められると、大半の人は昔のパスワードを使うようになり、大して変更しないからだ。

　あるいは小文字を大文字に変えたり、パスワードの最後に文字をくっつけたりするかもしれない。
研究者らはこうしたちょっとした工夫を「変換」と呼んでいる。ハッカーはこれをよく分かっている。

　このため、実社会のパスワード破りは、こうした予想可能な変換を自分のスクリプトやパスワード破りのルーティンに組み込む。

　ＩＴ（情報技術）ニュースサイトのアルス・テクニカによると、クレイナー氏は「パスワードを90日ごとに変更するよう求められると、
これをパターン化したり、いわゆる『変換』を行ったりする傾向があると米ノースカロライナ大学（ＵＮＣ）の研究チームは述べている」と指摘。
「昔のパスワードを使ったり、少しだけ変えたり、新しいパスワードを考え出したりする」と述べた。

　クレイナー氏は定期的なパスワード変更を求める7700のアカウントのデータに着目したＵＮＣによる2010年の研究を引用した。




実は危ない、パスワードの定期変更
http://www.nikkei.com/article/DGXMZO05876050Z00C16A8000000/

2 ： ニールキック(東京都)＠＼(^o^)／：2016/08/11(木) 22:34:49.43 ID:4HwL/xcQ0.net

■ランダムなパスワードが理想だが……

　セキュリティー専門家のブルース・シュナイアー氏もこれに同意する。
５日にはブログで「これはセキュリティー上、まずいアドバイスだと何年も前から言っている。
脆弱なパスワードを促すことになるからだ」と語った。

　これはパスワードの変更は絶対に良くないという意味ではない。
ビジネス向け交流サイト（ＳＮＳ）のリンクトインを襲ったサイバー攻撃のように、大規模な情報流出で自分のパスワードも被害に遭った場合、
他のサイトでこのパスワードを再び使うのであれば（そうすべきではないが）、もちろんこれを変更すべきだ。

　安全なパスワードを選ぶ最善の方法は随時変化しており、筆者はセキュリティーの専門家ではない。
一般的には、長くランダムなパスワードが望ましい。シュナイアー氏は自らのブログで有益なアドバイスをしている。
ここではイラストで簡単に覚えられるシステムを提案している。

3 ： 男色ドライバー(神奈川県)＠＼(^o^)／：2016/08/11(木) 22:35:06.25 ID:odbduXML0.net

鯖の水煮をご飯の上に乗っけてオリーブオイルを入れるだけの簡単料理
http://imgur.com/4EuFWkp.jpg

4 ： メンマ(三重県)＠＼(^o^)／：2016/08/11(木) 22:35:11.18 ID:M/hyXwWp0.net

秘密の質問

5 ： ドラゴンスクリュー(大阪府)＠＼(^o^)／：2016/08/11(木) 22:36:02.44 ID:BjK4plwc0.net

知ってた速報

6 ： 中年'sリフト(茸)＠＼(^o^)／：2016/08/11(木) 22:36:09.26 ID:TJcAaPE70.net

ドトールコーヒーの運営するエクセルシオールカフェ赤羽東口店では「好きだ」といい出した創価の女店員に優しくしたら、他の店員がやっかみはじめた(復刻改定版)
(全バージョン転載可)
創価学会の行っている非人道行為が
なくなりますように悔い改めよ創価学会
海外の政府の方 日本の闇を暴くのだ
日本では俗称 集団ストーカーなるものが
行われている
ドトールコーヒーは創価学会だ
倫理もなし タックスヘイブン 創価学会
不幸が起こって創価を信じると収まる 野蛮人のやるような行為 だれか英訳して海外掲示板に貼ってくれ
創価学会脱会方法 http://park5.wakwak.com/~soka/dakkai.htm
人間やめますか 創価学会やめますか
創価の女はこのモデルみたいな感じ
http://m.imgur.com/cdVLHzR?r
TBS 川田アナ 自殺ネットで調べてみな
創価学会 お前らは地獄に落ちる
http://itest.2ch.net/test/read.cgi/saibanin/1465718299/l50
連投キー Ffc. V bcc c. C c c cc

7 ： 頭突き(長屋)＠＼(^o^)／：2016/08/11(木) 22:36:09.59 ID:tY0akYwC0.net

>>4
ソーシャルハッキングし放題だよな、あれ

8 ： クロスヒールホールド(庭)＠＼(^o^)／：2016/08/11(木) 22:36:32.66 ID:N0jMBkIV0.net

>>4
全部aaaaにしてふわ

9 ： ジャーマンスープレックス(新疆ウイグル自治区)＠＼(^o^)／：2016/08/11(木) 22:36:53.76 ID:q0x6K59C0.net

複雑で覚え易いパス考えてるのに変えろ変えろ催促すんな

10 ： TEKKAMAKI(家)＠＼(^o^)／：2016/08/11(木) 22:37:52.92 ID:YdPFMNvS0.net

早く網膜やら指紋やらに置き換わらないと限界やで

11 ： ストマッククロー(庭)＠＼(^o^)／：2016/08/11(木) 22:38:17.23 ID:nDvFyPOb0.net

早く２バイト文字列パスワード対応しろ

12 ： ツームストンパイルドライバー(新疆ウイグル自治区)＠＼(^o^)／：2016/08/11(木) 22:39:05.99 ID:fDGpcC/I0.net

ちんぽにかかわるパスワードだからなあ

13 ： タイガースープレックス(神奈川県)＠＼(^o^)／：2016/08/11(木) 22:43:17.79 ID:V29nlYr70.net

これ詭弁でしょ。「毎回無関係なパスワードを作ってください」と指導すべきであって
「パスワードを変えるな」は余計危ない。やり口が卑劣だよこれ

14 ： 断崖式ニードロップ(dion軍)＠＼(^o^)／：2016/08/11(木) 22:45:46.51 ID:K4q5AfHg0.net

「昔のパスワードを使ったり、少しだけ変えたり、新しいパスワードを考え出したりする」と述べた。


逆にこれ以外のパターンありえんのかよｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

15 ： テキサスクローバーホールド(やわらか銀行)＠＼(^o^)／：2016/08/11(木) 22:48:22.08 ID:VfZfpM330.net

>>14
ランダムに生成する。パスワード管理ツールで覚えておく必要なし。

16 ： レッドインク(千葉県)＠＼(^o^)／：2016/08/11(木) 22:52:36.61 ID:EPsH7//l0.net

1111にしておけばゴキブリでも突破できねーよ、おススメ

17 ： ツームストンパイルドライバー(新疆ウイグル自治区)＠＼(^o^)／：2016/08/11(木) 22:57:15.95 ID:fDGpcC/I0.net

ネットワークの攻撃があれだな、むかしと同じだな

大阪で博覧会でつかってた3Comのネットワークカードを、はした金で買ってつかってると
ダミーになってかわせたが、いまのは一体型で、こういうパスワードの追跡もしやがる


あのカードも隠してあるけど、さてどうしたもんかね、馬鹿公安さん

18 ： クロスヒールホールド(チベット自治区)＠＼(^o^)／：2016/08/11(木) 22:58:41.26 ID:R9GyEmzP0.net

>>15
会社のパソコンに勝手にソフト入れちゃ駄目だし

19 ： フライングニールキック(東京都)＠＼(^o^)／：2016/08/11(木) 23:03:41.52 ID:+hwni7b10.net

>>18
ニート晒上げはやめてやれよ

20 ： ツームストンパイルドライバー(新疆ウイグル自治区)＠＼(^o^)／：2016/08/11(木) 23:04:34.03 ID:fDGpcC/I0.net

>>19
回避はできるだろ、やろうと思えば

21 ： キン肉バスター(茸)＠＼(^o^)／：2016/08/11(木) 23:24:46.38 ID:Eb2JsucS0.net

早く指紋か顔認証にしろよ。パスワードだけで30個くらいあるわ

22 ： 16文キック(dion軍)＠＼(^o^)／：2016/08/11(木) 23:27:31.38 ID:pjYsxdLV0.net

>>3
先生！醤油は垂らしても良いですか？

23 ： ムーンサルトプレス(家)＠＼(^o^)／：2016/08/11(木) 23:33:53.46 ID:Dn3O94zv0.net

漢字を使えるようにすればいい。漢字を知らない人だったらパスワード知られてもなんて入力すれば出てくるか分からないから、
破られにくい。

24 ： ツームストンパイルドライバー(千葉県)＠＼(^o^)／：2016/08/11(木) 23:35:53.41 ID:3q3PxPN10.net

>>14
簡単なプログラムで作れる

25 ： ランサルセ(宮城県)＠＼(^o^)／：2016/08/11(木) 23:39:15.35 ID:jjdwKqH+0.net

で、お前らはどう設定してんのよ？

26 ： 腕ひしぎ十字固め(神奈川県)＠＼(^o^)／：2016/08/11(木) 23:40:11.59 ID:HlqBNUQ80.net

>>13
「変えるな」じゃないよ
変える方が危険だという実態がある、という話

毎回無関係なパスワードを作るのが多くの人にとって面倒なことなわけで
安全面を考えると、人間に面倒ななことはさせないってのは最重要なことのひとつだよ

27 ： チキンウィングフェースロック(チベット自治区)＠＼(^o^)／：2016/08/11(木) 23:41:18.77 ID:o8MgjUcN0.net

>>18
家で生成し覚えてくる

28 ： ストレッチプラム(千葉県)＠＼(^o^)／：2016/08/11(木) 23:42:31.13 ID:l6CeCXMw0.net

誕生日＋登録日
これで大抵なんとかなる
問題は覚えられない事くらいか

29 ： 腕ひしぎ十字固め(dion軍)＠＼(^o^)／：2016/08/11(木) 23:42:54.69 ID:vtgABzVp0.net

俺はlastpassさんに身をゆだねてる

30 ： ダイビングエルボードロップ(禿)＠＼(^o^)／：2016/08/11(木) 23:46:04.65 ID:Da9x/Jx30.net

パスワード変えろとか無理
覚えられない

31 ： マスク剥ぎ(東京都)＠＼(^o^)／：2016/08/11(木) 23:50:58.05 ID:xC/c5E3x0.net

>>25
ランダムに打ち込んだものを5個用意して
変更求められたら順番に変えていくだけでいいだろ

32 ： スターダストプレス(静岡県)＠＼(^o^)／：2016/08/11(木) 23:54:11.16 ID:3xmtSpmP0.net

定期的に変更だけならまだいい。
世代管理すんな。
８世代記憶とか頭おかしい。

33 ： フライングニールキック(神奈川県)＠＼(^o^)／：2016/08/11(木) 23:57:29.53 ID:A1W9iXzx0.net

嫁の誕生日にしたいが嫁が居ない…

34 ： マシンガンチョップ(新疆ウイグル自治区)＠＼(^o^)／：2016/08/11(木) 23:58:47.64 ID:LxG2lzRE0.net

逃げた奴って破壊のためにかえってくるが、そのとおりだよな

35 ： キングコングラリアット(関西地方)＠＼(^o^)／：2016/08/12(金) 00:00:10.13 ID:07/ijtlu0.net

パスワードの生成と管理なんかWebブラウザとExcelがあればできるからツールなんか入れる必要ないよな

36 ： リキラリアット(宮城県)＠＼(^o^)／：2016/08/12(金) 00:01:36.55 ID:L8bD7YRe0.net

紙に書いてその紙の管理をしっかりしとくの最強

37 ： 超竜ボム(東京都)＠＼(^o^)／：2016/08/12(金) 00:17:01.27 ID:fogHiicC0.net

あなたのペットの名前は？→経理の智子

38 ： ビッグブーツ(チベット自治区)＠＼(^o^)／：2016/08/12(金) 00:29:00.33 ID:z63n3gZb0.net

>>33
んなもん秋放送予定の作品でも調べて見つけてこい！

39 ： 目潰し(兵庫県)＠＼(^o^)／：2016/08/12(金) 00:35:02.89 ID:+KDGoaJY0.net

アマゾンとか楽天みたいな漏れたらヤバいサイトは2段階ログイン義務付けろよ

40 ： レインメーカー(東京都)＠＼(^o^)／：2016/08/12(金) 01:17:34.61 ID:XK+Rq6Iq0.net

>>13
詭弁というか話題にしたい時の手口だな
馬鹿なメディアはこういうの好きだし、案の定間違った伝え方してるしw

41 ： レインメーカー(東京都)＠＼(^o^)／：2016/08/12(金) 01:19:46.84 ID:XK+Rq6Iq0.net

>>23
素晴らしい。一種のハッシュだな。ソフト側がバグるだろうけど

42 ： トペ コンヒーロ(北陸地方)＠＼(^o^)／：2016/08/12(金) 03:09:23.36 ID:sQ/YlQ7F0.net

めんどくさいからキーボードの1列目から3列目まで順番に〇文字＋数字の１足して
変更の案内が来たら切り替えてるよ　これだったら忘れんないし楽だよ

43 ： ダイビングヘッドバット(埼玉県)＠＼(^o^)／：2016/08/12(金) 03:55:11.61 ID:bcYSWZS/0.net

>>15
俺もこれ
新たに加わったり更新したら、暗号化したパスワードデータをとあるサーバーに上げとく
不安は残るが今のところこれだな

44 ： ストマッククロー(チベット自治区)＠＼(^o^)／：2016/08/12(金) 04:05:10.92 ID:afeuMWLT0.net

>>31
過去に使ったパスワード使えないってのはまれによくある

45 ： ダイビングヘッドバット(埼玉県)＠＼(^o^)／：2016/08/12(金) 04:10:17.50 ID:bcYSWZS/0.net

会社は静脈認証になったが、いつの間にやらまた戻ってた事があったな
無駄なコストかけやがって

46 ： ツームストンパイルドライバー(福岡県)＠＼(^o^)／：2016/08/12(金) 04:14:16.27 ID:DjO/wue/0.net

基本はchinkomanko

47 ： ハイキック(関東・甲信越)＠＼(^o^)／：2016/08/12(金) 04:14:19.39 ID:8nFova3tO.net

担当者の報告の為だけの概念といった印象

48 ： ブラディサンデー(庭)＠＼(^o^)／：2016/08/12(金) 04:23:10.96 ID:5wMUblvP0.net

銀行アプリのワンタイムパスワードをゴニョゴニョしてパスワード作ってるわ
必要に応じて大小英文字と記号も混ぜられるような作り方を考えた

49 ： アンクルホールド(空)＠＼(^o^)／：2016/08/12(金) 06:17:07.10 ID:Mp3U/mrM0.net

>>3
鮭缶かツナ缶にして

50 ： ナガタロックII(東日本)＠＼(^o^)／：2016/08/12(金) 06:19:01.94 ID:ag41DPBb0.net

うちの会社は2つ前までと同じパスワードはダメなんだが・・・
みんな3回パスワードをかえてるだけ。

ほんとバカだよな。
規則だけつくってそれがどういう結果を産むがわかってない。
情報セキュリティ規定をきめてるバカどもは最新状況を理解してない。

51 ： パロスペシャル(東京都)＠＼(^o^)／：2016/08/12(金) 06:37:08.89 ID:JxR0JEL10.net

中学生の姪っ子にスマホをソーシャルハックされた
いやらしい物が入ってない方で良かった（^ω^）

52 ： キドクラッチ(静岡県)＠＼(^o^)／：2016/08/12(金) 06:42:01.26 ID:XRb9sA5k0.net

ネット口座を複数開設するとその度に暗証番号を考えないといけない
まんま誕生日の配列は禁止されているので順序入れ替えたりの捻りを
加えるのだが後になってログインしようとするとどこをどう捻った
のか忘れてるｗ

その失敗で過去に3回も窓口に脚を運ぶことになった…

53 ： 超竜ボム(やわらか銀行)＠＼(^o^)／：2016/08/12(金) 06:42:02.81 ID:dtfw5CQH0.net

某ゲーム会社から至急変更してくださいってメールが来たけど
変えた番号忘れてログイン出来ないままになった

54 ： キドクラッチ(静岡県)＠＼(^o^)／：2016/08/12(金) 06:43:08.99 ID:XRb9sA5k0.net

>>36
洗濯しちまったよ…(＾＾A)

55 ： キドクラッチ(静岡県)＠＼(^o^)／：2016/08/12(金) 06:44:55.14 ID:XRb9sA5k0.net

>>53
ｱﾙｱﾙw

56 ： かかと落とし(catv?)＠＼(^o^)／：2016/08/12(金) 07:00:15.36 ID:T+jQg2zo0.net

最近はブルートフォース対策回避でゆっくり少しづつ総当たりする手口が増えとるのに何いってんだか

57 ： クロスヒールホールド(チベット自治区)＠＼(^o^)／：2016/08/12(金) 07:00:17.82 ID:XPEbk6j80.net

>>2
でも、そのままよりは安全じゃねえか？

58 ： 栓抜き攻撃(東京都)＠＼(^o^)／：2016/08/12(金) 07:52:11.75 ID:fcLT5/6T0.net

変えますん

59 ： 頭突き(SB-iPhone)＠＼(^o^)／：2016/08/12(金) 07:55:49.81 ID:IlbCfRMr0.net

ところで、なんで変えないと危険なんだ？

60 ： 逆落とし(チベット自治区)＠＼(^o^)／：2016/08/12(金) 07:57:13.18 ID:JiqwCWhZ0.net

楽天銀行法人向け口座死ね
数ヶ月置きに強制的に変えさせやがって

61 ： 毒霧(catv?)＠＼(^o^)／：2016/08/12(金) 07:59:15.67 ID:zQ0sZ/dj0.net

>>59
きちんとランダム文字列なパスワードなら変える必要は全く無いと思う

62 ： キングコングラリアット(千葉県)＠＼(^o^)／：2016/08/12(金) 07:59:20.35 ID:dMiB8xhu0.net

>>13
変更の周期を知ってればそれに合わせて罠をはって変更したてのパスも奪えるよ

63 ： セントーン(東日本)＠＼(^o^)／：2016/08/12(金) 08:46:32.26 ID:RVkEMy7i0.net

パスワード定期変更を要求するシステムで
過去のパスワードを全部覚えてて、一度でも
使った事があると拒否する奴があるがあれはウザい
他に酷かったのだと、直前のパスワードと
似たパスワードを入れるとそれも拒否る
サイトがあった

64 ： ボマイェ(京都府)＠＼(^o^)／：2016/08/12(金) 08:48:46.70 ID:eenFeEmo0.net

＞パスワードの変更を求められると、大半の人は昔のパスワードを使うようになり、大して変更しないからだ。

ただの馬鹿だろ

65 ： ボマイェ(京都府)＠＼(^o^)／：2016/08/12(金) 08:50:55.72 ID:eenFeEmo0.net

てきとー力が試される！

66 ： エクスプロイダー(庭)＠＼(^o^)／：2016/08/12(金) 08:52:19.63 ID:9ZwWpRwY0.net

いい加減パスワードにかわるもの開発してよ
測定ボードに血を垂らすとDNA鑑定で開くとかそんなの

67 ： 魔神風車固め(神奈川県)＠＼(^o^)／：2016/08/12(金) 10:48:52.34 ID:q3a02wtz0.net

でも漢字…2バイト文字の利用は可能となればマジ福音だな。
アラビア文字でも簡体字でもハングルでもなんでもいいけどさ。
データベース作るのにも途端に語学的素養が必要になってくるし。
アルファベットが使えりゃ世界共通ってのがよくない。

そのうち中二病的な魂の名前が、不正アクセスからのそれなりに有効な防壁になるかもしれん。

68 ： ニーリフト(禿)＠＼(^o^)／：2016/08/12(金) 18:11:12.90 ID:5d1jJMoF0.net

>>66
認証のたびにガリッてやんのか…

69 ： ブラディサンデー(庭)＠＼(^o^)／：2016/08/12(金) 19:46:45.37 ID:5wMUblvP0.net

DNA鑑定は精度は良いだろうけど不正取得を防ぐのが難しいね
髪の毛、フケ、切った爪、擦り傷などで地面や壁に付いた血液や皮膚、そういうものを徹底的に抑えないといけない
しかも変更が利かないから一度盗まれたら終わり