米政府機関、“パスワード変更”をユーザーに定期的に要求はダメ 脆弱なパスワード使用につながる

ニュース

1: 山師さん 2024/10/07(月) 14:26:37.37 ID:JykNzboD9

2024年10月07日 08時00分 公開

「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。

多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。

全文はソースでご確認ください。
https://www.itmedia.co.jp/news/articles/2410/07/news054.html


2: 山師さん 2024/10/07(月) 14:27:37.59 ID:zWQ4wfJz0
そりゃそうだけど、固定も怖くね
 
44: 山師さん 2024/10/07(月) 14:51:59.28 ID:e+LysVEo0
>>2
頻繁に変えさせると奇数月はコレ、偶数月はコレ、とかパターン化する奴だらけになる(結果、固定と変わらん)
 
3: 山師さん 2024/10/07(月) 14:28:32.61 ID:AMb9lF9C0
長けりゃいいんだよ
 
5: 山師さん 2024/10/07(月) 14:30:25.05 ID:pMN7kUCm0

うちの会社がなんか変でなぁ
グループウェアのパスワード変更を半年ごとに強制なんだが、
過去に使ったパスが「以前使われたパスワードです」と弾かれるんだよ

過去何年ぶんのパスワード履歴を全部保管してるってことだよな
逆に危なくねえか?これ

 
14: 山師さん 2024/10/07(月) 14:34:43.29 ID:H17E3PlA0
>>5
2カ月で強制的に変えさせられてるけど
6.7回くらい前まで記録されてて同じの止めろとエラー出るわ
こんなもん覚えられっこないから一文字づつ順番で変えてるだけだが
記録まとめて漏れたら今何か傾向で完全にばれるw
25: 山師さん 2024/10/07(月) 14:41:07.83 ID:SkY3/hrc0
>>5
パスワードの文字列そのものを保存してるわけじゃないから問題ない
・・・はずなんだが、時々生のパスワードそのものを保存してるケースもあるからなんとも言えんな。
(流出したパスワードで他のサイトに侵入されてしまうのはまさにこのケース)
 
8: 山師さん 2024/10/07(月) 14:31:29.81 ID:5ppcLqpo0
覚えるの面倒だからみんなabcdefg使ってる
数字入れなきゃ駄目なときはabcd0123とかね
 
104: 山師さん 2024/10/07(月) 16:35:55.86 ID:eZJLtnSB0
>>8
それあかん奴w
 
133: 山師さん 2024/10/07(月) 17:51:10.90 ID:RIJnaIUj0
>>8
めんどいならzxccbnmだろうに
 
9: 山師さん 2024/10/07(月) 14:31:29.94 ID:jAX+NrTg0
何年これ言い続けてんだよw
 
10: 山師さん 2024/10/07(月) 14:31:30.35 ID:gp6bLM3C0
スマホも現状は完熟してんだからパスワード代わりになる生体認証技術をもっと高めるべき
 
16: 山師さん 2024/10/07(月) 14:35:27.86 ID:sVM4EQmk0
2週間でに1回とかになると交互やローテで同じパスワード使い回すようになるしな
21: 山師さん 2024/10/07(月) 14:39:30.28 ID:m9b3f9b+0
文字列+数字+文字列
これが基本
 
24: 山師さん 2024/10/07(月) 14:40:46.88 ID:Z2NZo5fG0
いつも思うけどあんな単純なパスにしてる人ほんまにおるんか
 
30: 山師さん 2024/10/07(月) 14:42:11.45 ID:EECE6xHc0
覚えられるわけないからパスワードマネージャ使うけど一元管理するとそっから漏れた時怖いんだよな
 

引用元: https://asahi.5ch.net/test/read.cgi/newsplus/1728278797/