【IT】Microsoftが「パスワードの定期変更は不要」と宣言、パスワードに有効期限を定める方針は廃止へ

1: ムヒタ ★ 2019/04/26(金) 12:03:20.84 ID:CAP_USER

Microsoftは2019年4月24日、Windows 10 バージョン1903ならびにWindows Server バージョン1903のセキュリティベースラインのドラフト(仕様書)を公開しました。その中で、Microsoftはパスワードの定期変更に疑問を呈し、「パスワードに有効期限を設ける」というこれまでの方針を廃止したことを明らかにしました。

バージョン1903は2019年5月末に配布される予定の次期大型アップデートです。バージョン1903ではWindows Updateの改良が予定されていて、更新プログラムの適用を最大35日まで延期することが可能になっています。また、2017年に削除リストに追加されてしまったMSペイントが引き続きビルドに含まれることが話題となりました。

そんなバージョン1903のセキュリティベースラインのドラフトの中で、Microsoftは「パスワードの定期変更を必要とするようなパスワード有効期限ポリシーを削除します」と明記しました。

Microsoftは、「人間が自分のパスワードを選ぶ時、簡単に予測できるようなものにしてしまいがちです。しかし、覚えにくいパスワードを割り立てたり作成したりすると、他の人が見られる場所に書き留めてしまうことがよくあります。また、自分のパスワードの変更を余儀なくされると、既存のパスワードを予測可能なものに変更したり、新しいパスワードを忘れたりします」と述べ、セキュリティ業界で長年勧められてきたパスワードの定期変更に対して疑問を呈しています。

ただし、パスワードの有効期限ポリシーを削除する代わりに、セキュリティベースラインには含まれていないものの、禁止パスワードリストの導入や二段階認証などといった代替手段をMicrosoftは勧めています。

「パスワードの定期変更は不要」という主張は近年注目されているもので、2018年には日本の総務省が「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません」と述べています。

また、Windows 10ではローカルのAdministrator(管理者)アカウントがデフォルトで無効になっていてインストール中に新規でAdministratorアカウントを作成する必要があります。MicrosoftはこのAdministratorアカウントの強制無効についてもとりやめる方針を検討していると述べています。
2019年04月26日 10時00分
https://gigazine.net/news/20190426-microsoft-drops-password-expiration-rec/

2: 名刺は切らしておりまして 2019/04/26(金) 12:05:14.95 ID:3lMGAUM6
やっとか
銀行も早くしてくれ

3: 名刺は切らしておりまして 2019/04/26(金) 12:06:22.55 ID:rqxb1qC1
>>2
あの4桁のやつはどうすんだろね

12: 名刺は切らしておりまして 2019/04/26(金) 12:23:24.87 ID:eDD+H55l
>>3
ぶっちゃけ、最終的にはスマホかざして
指紋認証の方がマシな気もするが、
そもそも、そんな時代がくるまでにATMが生き残ってるか

4: 名刺は切らしておりまして 2019/04/26(金) 12:07:03.37 ID:TNpc5Rlz
他のサービスで同じパスワードの使い回しは?

7: 名刺は切らしておりまして 2019/04/26(金) 12:10:26.59 ID:KEtVcSTJ
>>4
別問題

8: 名刺は切らしておりまして 2019/04/26(金) 12:12:23.94 ID:IhsrhEnt
自分の中でセキュリティレベルを三段階くらい設けてパスワード3つ作る

33: 名刺は切らしておりまして 2019/04/26(金) 12:50:18.44 ID:sEwwEMLF
>>8
でも、もともとが低いバカのレベル

9: 名刺は切らしておりまして 2019/04/26(金) 12:13:21.91 ID:FESTGEFW
安易なパスを定期変更するより、安易なパスを使いっぱが推奨か。
見出し文化を理解できない馬鹿のせいでセキュリティ低下やな

13: 名刺は切らしておりまして 2019/04/26(金) 12:25:15.48 ID:eDD+H55l
ベストなのは32文字ランダム記号ありで、全インターネット関連企業が統一してもらった方が
実際はセキュリティーの質はあがるか、ドングルあたりで認証の方がマシだと思う

15: 名刺は切らしておりまして 2019/04/26(金) 12:26:54.03 ID:T2B3Et7O

定期的に変更してください、直近10回分のパスワードとの重複は不可です

こんなこと言われたら特定のワードに1から10までの番号付加してぐるぐる使い回すことになるに決まってるからな

19: 名刺は切らしておりまして 2019/04/26(金) 12:31:59.59 ID:Sr7f1r4u

>>15
定期的なパスワード変更と再利用禁止を強制すると
下手したらポストイットにパスワード書いて機器に貼るからねー

システムセキュリティを考える際に
「人間のサガ」まで考慮するようになったのは良いことだと思う

17: 名刺は切らしておりまして 2019/04/26(金) 12:27:20.78 ID:FUA8Vc3F

パスワード一つの場所では
同じの使い続けてもいいんじゃねえかという感じするけど
色んなトコで同じパスワード使い回すのはヤバいよな

それだと簡単とか複雑とか関係なく全滅するしな

21: 名刺は切らしておりまして 2019/04/26(金) 12:33:27.70 ID:wGe/f9pd
忘れにくく覚えやすいところで、DamnWithMicrosoftというpwにしておこう。

260: 名刺は切らしておりまして 2019/05/01(水) 19:00:14.08 ID:4zJB9qfj
>>21
ちゃんと付箋に書いて貼っておけよ

23: 名刺は切らしておりまして 2019/04/26(金) 12:36:38.57 ID:W4/aGc21
紙に書いて金庫に入れとけばいいだろうw

24: 名刺は切らしておりまして 2019/04/26(金) 12:36:43.24 ID:O5I2qG8I
パスワードは生年月日にすれば忘れない

28: 名刺は切らしておりまして 2019/04/26(金) 12:39:05.08 ID:VPvoQt4C
>>24
11月11日生まれの知り合いはパスワードで困ってたな

26: 名刺は切らしておりまして 2019/04/26(金) 12:38:20.74 ID:hSdavLwa

マイナンバーカードにワンタイムパスワードカードつけてすべてのログイン時に入力させるようにすれば良い

というかいま手元にワンタイムパスワードカードが5個もある
統一してくれ

31: 名刺は切らしておりまして 2019/04/26(金) 12:45:15.75 ID:tLOUD3Cw
ネットでのパスワードは極力手打ちしない。
パスワード入力ソフトの方がフィッシングで騙される危険が少ないから。
その代わりパスワードはジェネレーターで各サイトごとに個別に作り同じパスワードは使わない。

32: 名刺は切らしておりまして 2019/04/26(金) 12:49:10.47 ID:sEwwEMLF

知ってた。

50年、同じパスワード使ってる。

34: 名刺は切らしておりまして 2019/04/26(金) 12:51:11.50 ID:Qcv0/FbW
難しいパスワードが覚えられないのなら、パスワード専用の秘書を雇えば良いじゃない?

35: 名刺は切らしておりまして 2019/04/26(金) 12:54:43.05 ID:W/GnfyRr
>>34
秘書:
「その質問にはお答えできません。マスターパスワードが間違っており、本人認証に失敗しました。
あと4回間違えたら御社都合で退職させていただきます。」

37: 名刺は切らしておりまして 2019/04/26(金) 12:58:20.42 ID:Yh+RuEag
パスワード生成というサイトがあるのを今頃知った
安全なのかな ユーザーid には良さげ

40: 名刺は切らしておりまして 2019/04/26(金) 13:00:41.14 ID:0F8ZQgJw

不要というか、逆に危険を感じていたわ。

パスワード期限とか短いサイトは、期限切れという警告で
偽サイトに誘導してIDとパスワード入力させるとか。

パスワードの複雑さを要求しているとこも、パスワードの誤入力しやすさを突いて、
偽サイトに誘導してIDとパスワードを入力させるとか。

偽サイトかどうかを確かめるにはURLを1文字単位で確認しないといけないしな。

41: 名刺は切らしておりまして 2019/04/26(金) 13:01:05.63 ID:Wk1oy6VW
いまどきブラウザやらスマホのOSやらで保存してくれるだろ
人が覚える必要性なんてないんだよ

130: 名刺は切らしておりまして 2019/04/26(金) 23:10:17.42 ID:fngbmS2g
>>41
アップルとWindows、Androidで規格統一してほしい。。

42: 名刺は切らしておりまして 2019/04/26(金) 13:03:13.84 ID:U6sYhw2C
大企業になればなるほどパスワード確認がしつこい
彼らの保身からくる予防策のせいで
利用者の利便性が損なわれている

48: 名刺は切らしておりまして 2019/04/26(金) 13:19:46.17 ID:r3YFPt3i
どうせお前らのGoogleアカウントと、Microsoftアカウントと、Yahoo!アカウントはIDもパスワードも一緒なんだろ?
一つ漏れれば全部漏れる
Googleはやろうと思えばどのサイトにもアクセスできるってこと

49: 名刺は切らしておりまして 2019/04/26(金) 13:21:44.38 ID:Wk1oy6VW
>>48
お前はMFA使ってないのか

50: 名刺は切らしておりまして 2019/04/26(金) 13:23:39.80 ID:Sy92FKZN
定期的に変更要求されると結局は物理メモを残すか法則のって同じパス使いまわすだけだからな
2週間でパス変更要求するくせに一度使ったパスは二度と使えない連続で間違うとロックするとか楽天の店舗管理はゴミ
死ねばいいのに

54: 名刺は切らしておりまして 2019/04/26(金) 13:28:10.29 ID:f/WQ5GzJ
パスワードの更新が必要ですとかいって偽のサイトに誘導するスパムもあるしな

63: 名刺は切らしておりまして 2019/04/26(金) 13:53:19.68 ID:07SdBoYy
そこのサービス名か会社名に好きな作品に出て来る数字組み合わせてる
これなら忘れないしメアドは同じでもサービスによってパス変わるし

64: 名刺は切らしておりまして 2019/04/26(金) 14:00:54.76 ID:7/sD5AWK
きかいの人「あなたの123456のパスワードは有効期限切れです。別のに設定してください」
ぼく「ほーん、じゃあ「123456」っと」
きかいの人「設定完了しました」

72: 名刺は切らしておりまして 2019/04/26(金) 17:05:46.34 ID:xSwm4o0f
乗っ取りに注意

73: 名刺は切らしておりまして 2019/04/26(金) 17:18:40.75 ID:e9iBHYRS
変更したパスワード忘れてアクセス不能に何回なった事か
結局メモを張り付けて対処してるからパスワードの意味がないぜ

99: 名刺は切らしておりまして 2019/04/26(金) 21:12:53.34 ID:QcKJ85mm

一度使ったことがあるパスワードを使えなくしてるしようもやめて欲しいわ
パスワードの変更サイクルで12セット用意してるけど毎回新しいの考えるのも覚えるのも限界

方々で3000アカウント運用してると、どのパスワードに更新したのか忘れて
ロックされたアカウントが・・・

100: 名刺は切らしておりまして 2019/04/26(金) 21:24:52.91 ID:EXelwEKx

セキュリティ界隈では当たり前なんだけどね
正直いまさら感

パスワード変えろ!のメッセージを出すサービスは、正直レベル低い

101: 名刺は切らしておりまして 2019/04/26(金) 21:28:00.75 ID:bMlOXXx4
パスワード変更の必要があるのはパスワードが洩れた時だけなんだよな。

107: 名刺は切らしておりまして 2019/04/26(金) 21:33:49.29 ID:o1oy5D5C
>>101
でも大抵の人は自分のパスワードが漏れていることに気が付いていないんじゃ?

108: 名刺は切らしておりまして 2019/04/26(金) 21:35:24.56 ID:o1oy5D5C
SNSが増えすぎたな。IDやパスワードを憶えるのが大変。
GoogleやFacebookでログインを共有するようになったけど、
あれはあれで大丈夫なのか?

113: 名刺は切らしておりまして 2019/04/26(金) 21:42:18.69 ID:iYn8MuDd
>>108
漏洩の可能性を増やしていると言うこと、共有するサービスを全面的に信頼することになるという事が分かっているならOK

110: 名刺は切らしておりまして 2019/04/26(金) 21:37:18.83 ID:vJmPw39q
定期変更してるけど、毎回ランダムにしてるよ

71: 名刺は切らしておりまして 2019/04/26(金) 16:19:27.41 ID:Ke2kt/Qa
ついに俺のモニタから付箋消えるのか?!

引用元

管理人からひと言

知ってた!

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

フォローする