【IT】「パスワード定期変更は不要」対応分かれ困惑も

1: 田杉山脈 ★ 2018/08/21(火) 13:06:44.47 ID:CAP_USER

 インターネット上のサービスを利用する際に設定するパスワードについて、利用者に定期的な変更を呼びかけるかどうか、国や民間企業の間で対応が分かれている。定期変更を呼びかけてきた総務省が昨年、方針を転換したためだが、困惑も広がっている。

総務省は昨年11月、国民にネット利用時の指針を示しているホームページ「国民のための情報セキュリティサイト」で、パスワードについて「定期的な変更は不要」と明記した。内閣サイバーセキュリティセンター(NISC)が「情報セキュリティハンドブック」で使い回しをしないことを前提に「変更の必要なし」としたことを受けての措置だ。

これに対し、経済産業省の民間企業向けの「情報セキュリティ管理基準」では、「定期的に、必要に応じて変更させる」としたままだ。

こうした国の動きを反映してか、民間の対応は割れている。交流サイト大手「ミクシィ」は今年4月、NISCや総務省の方針に従って、利用者への定期変更の呼びかけをやめた。一方、都内の証券会社は、顧客に定期変更を呼びかけており、「国の方針変更は把握しているが、それが適切かどうか協議が必要で、導入には時間がかかる」とする。インターネット銀行の担当者も「顧客の安全性を第一に対応を検討中」と対応を決めかねている。
https://www.yomiuri.co.jp/science/20180820-OYT1T50049.html

16: 名刺は切らしておりまして 2018/08/21(火) 13:49:40.96 ID:qJ55Qgr7

>>1

しかし、
パスワードは、盗もうと思えば盗めるものなのか?

だとしたらパスワードの意味なくねえ?

 

20: 名刺は切らしておりまして 2018/08/21(火) 13:56:59.26 ID:qJ55Qgr7

>>1

パスワード変更要請には、何かウラがありそうだな。

パスワードが盗まれるものなら、
幾らパスワードを変更してもムダ。新しいバスワードが盗まれるからな。

つまり、パスワード変更要請の前提として、
パスワードを盗んだ者が、一定期間、そのパスワードを使って窃盗をしないということが必要だが、
そんな馬鹿なハッカーはいないだろう。

 

21: 名刺は切らしておりまして 2018/08/21(火) 13:59:23.52 ID:qJ55Qgr7

>>20 の続き

おそらく、パスワード変更要請は、内部犯の犯行防止のためだろうな。

 

40: 名刺は切らしておりまして 2018/08/21(火) 15:42:35.85 ID:qf2jUaXU
>>1
すでにAmazon、Googleなんかの先進企業のセキュリティ研究で答えは出てる。
パスワードの変更回数とハッキング被害度合いとの因果関係は無く、
パスワードの強度とハッキング被害度合いに強い因果関係がある。

 

75: 名刺は切らしておりまして 2018/08/22(水) 11:48:04.52 ID:hNKpB3AG
>>1
そんなことよりどこのサイトもパスワードが多くて16文字程度しか入力できないのをなんとかしろ
パスワードを256文字くらいまで入力できれば利用者個人にとって意味があり他人からは推定されにくい強固なフレーズを作りやすくなるだろボケ

 

76: 名刺は切らしておりまして 2018/08/22(水) 12:02:43.62 ID:3GnbeZpg
>>75
どうせ自動生成だしそれでも良いな

 

80: 名刺は切らしておりまして 2018/08/22(水) 16:58:34.99 ID:fjK+Jey+

>>75
どこのサイトもというが、海外のサイトは32文字くらいは余裕だな
日本のサイトは8文字までとか、12文字までとか、記号禁止とかが多くてゲンナリ

あと、どうせコピペだから良いんだけどさ、
さすがに256文字を可能にするならインターフェースの見直しをしないといけんな

 

86: 名刺は切らしておりまして 2018/08/22(水) 19:47:08.56 ID:nr0gslVU
>>1
公務員は理由もわからずにルール化するからな

 

2: 名刺は切らしておりまして 2018/08/21(火) 13:15:54.64 ID:/X5sgmmU
現実に、定期変更している人なんていないし、定期変更を呼びかけてる本人もしていない
言い訳作りのためだけに呼びかけてるに過ぎない

 

69: 名刺は切らしておりまして 2018/08/22(水) 03:50:28.54 ID:OezECLkh
>>2で終わってた

 

3: 名刺は切らしておりまして 2018/08/21(火) 13:19:12.71 ID:oqxsm0F1
不要だな。
他人から推測されにくいのと、他所との使い回しを避ければそれでいい。

 

4: 名刺は切らしておりまして 2018/08/21(火) 13:19:35.50 ID:d7bV2ifo
IDとパスワード入れても動かね相談先電話しても訳わからん

 

5: 名刺は切らしておりまして 2018/08/21(火) 13:21:09.19 ID:nGha0ocm
イオン銀行とか
30日ごとに変更アナウンスくるけど
やりすぎじゃね?

 

14: 名刺は切らしておりまして 2018/08/21(火) 13:47:35.01 ID:4TQHgg9Y
>>5
ちゃんとセキュリティ関連のアナウンスはしてますよアピール

 

7: 名刺は切らしておりまして 2018/08/21(火) 13:26:56.87 ID:DXxTy0LV
金融機関だと回数間違えるとロックされるから ピンポイントでパスが盗まれることがない限り基本的には破られない
ネット上で何かされるより 実はリアルでIDパス書いたやつを直で取られる(盗まれる拾われる)みたいなリスクの方が遥かに高い

 

8: 名刺は切らしておりまして 2018/08/21(火) 13:30:53.92 ID:ZgiwJnua
変更しろって出たりするけど変えたこと一度もないわ

 

9: 名刺は切らしておりまして 2018/08/21(火) 13:33:15.91 ID:IpEbnSHC
そんな事より2段階認証を義務付けろよアホ

 

10: 名刺は切らしておりまして 2018/08/21(火) 13:36:21.56 ID:CFvwYvlp
どっちにしたって危険度はたいして変わらないよ。
パスワードなんて、クレカなど重要なものから通販のユーザ登録まで、
何10~100個近くあるから覚えきれない。
メモはしてるが、
途中で変更してたらさらにわからなくなる場合がある。
端末IDと顔認証を組み合わせて本人確認を行い、パスワードの入力を不要にすべきだろう。

 

11: 名刺は切らしておりまして 2018/08/21(火) 13:42:20.27 ID:G1v40nFm
定期的な更新強制で、少数のローテーションになりがち
メモ書きをディスプレイ横に貼る物理セキュリティーホールやりがち

 

12: 名刺は切らしておりまして 2018/08/21(火) 13:45:54.80 ID:1WqHNaJ7
サイト毎に異なるパスワードの設定は絶対だな。

 

13: 名刺は切らしておりまして 2018/08/21(火) 13:46:48.60 ID:4TQHgg9Y

変更して、パスワード忘れて、アカウントロッックされ再開の手続き
変更するリスクとしないリスク、どっちが大きいか

私はしないほうを選択

 

17: 名刺は切らしておりまして 2018/08/21(火) 13:49:44.98 ID:4TQHgg9Y
銀行関係はワンタイムパスワードでよくなった
ワンタイムパスワードでも危険という人がいるが、それはフィッシングサイト等別問題

 

18: 名刺は切らしておりまして 2018/08/21(火) 13:50:23.66 ID:SkC/NmHB
Niftyのアカウント初期パスワードのままで20年以上経ったわ

 

19: 名刺は切らしておりまして 2018/08/21(火) 13:55:02.03 ID:4TQHgg9Y
>>18
NIFTYってまだあるんだっけ?

 

22: 名刺は切らしておりまして 2018/08/21(火) 14:08:10.28 ID:4/pzYw3d
ランダム生成のパスワードが一番強力で、Appleとかが進めてる生体認証でパスワード呼び出すやつが手っ取り早い。

 

23: 名刺は切らしておりまして 2018/08/21(火) 14:09:58.67 ID:b7WS4df8
三ヶ月ごとにパスワード変更を求めてくる会社
三ヶ月ごとに爺共のパスワード変更をお手伝いする私

 

70: 名刺は切らしておりまして 2018/08/22(水) 04:01:08.99 ID:6Uifuklo
>>23
三か月ごとの強制パスワード変更があったけど、
前のパスワードと同じかどうかをサーバ側じゃなくローカル側でチェックしてたために、
ローカル側のチェックを外して同じパスワード使ってた

 

24: 名刺は切らしておりまして 2018/08/21(火) 14:13:12.36 ID:Z/bJCyyo
会社内PCサポート業務してるけど付箋にIDとPass書いて液晶画面枠に貼っている人の多いこと多いこと。
定期的に強制変更させてもコレでは逆に危険だよ。

 

25: 名刺は切らしておりまして 2018/08/21(火) 14:27:55.32 ID:SAawsH6T
セキュリティ管理者が知ったかぶりでパスワード変更させるからさぁ!!
ド素人が!!

 

26: 名刺は切らしておりまして 2018/08/21(火) 14:28:28.70 ID:5tlxBeiy
そもそも情報流出するのが当たり前という態度がおかしい。
定期変更の理由が。

 

27: 名刺は切らしておりまして 2018/08/21(火) 14:29:52.29 ID:aMPXJ8cy
最近はメールアドレスをIDにするので、パスワードの使い回しは危険。
Google IDで全てログイン出来ればいいのに。

 

28: 名刺は切らしておりまして 2018/08/21(火) 14:34:28.52 ID:c8XtdoFk
それより二段階認証。楽天とかいつになったら…

 

29: 名刺は切らしておりまして 2018/08/21(火) 14:42:51.74 ID:/M1lYjAp
情報流出させてもいいよっていう判例があるのにパスワードがどうとか

 

30: 名刺は切らしておりまして 2018/08/21(火) 14:54:22.16 ID:ybUOUiwl
定期変更しなかった顧客に非があると言いたいだけよね

 

31: 名刺は切らしておりまして 2018/08/21(火) 15:08:02.76 ID:7SFd7BUn
詳しくもない奴らが決めた指針に従わんでも良いと思うけど。

 

32: 名刺は切らしておりまして 2018/08/21(火) 15:10:15.91 ID:ydsLDy9b

定期変更がリスキーっていうのは、低能力なユーザーが定期変更に対応出来ないから。って事だから人起因の話である事もちゃんと言わないと

セキュリティ側で言えば、侵入を検知する何かを入れてないなら定期変更は有効。

人の対応力とセキュリティという違う軸で話してるから宗教戦争になるって気付け馬鹿

 

34: 名刺は切らしておりまして 2018/08/21(火) 15:15:31.60 ID:+/iPcbuR

>>32
セキュリティも含めて意味ないんだよ

ユーザー側の端末の話だとしたら、侵入を検知する何かが入ってなければパスワード変えても盗み取られるだけ
サーバー側だとしたら、そもそも入れてないのなら何されてもわからんわ

 

36: 名刺は切らしておりまして 2018/08/21(火) 15:30:32.15 ID:ydsLDy9b
>>34
その話は限定的だな。バックドア?
一部を引用して全体を語ってる感じ?

 

33: 名刺は切らしておりまして 2018/08/21(火) 15:13:51.55 ID:5Cdf7dLc
パスワード変更したら忘れるんだよ
特にたまにしか使わないやつ
だからやらん

 

35: 名刺は切らしておりまして 2018/08/21(火) 15:16:49.17 ID:sVxR172U
身近な人に盗み見られる対策には有効な気もするけどそれはあんまりリスクないのか

 

37: 名刺は切らしておりまして 2018/08/21(火) 15:33:44.81 ID:3NeaJGPb

「十分長くて使いまわししてないなら」
定期変更は不要

なんだけどな

 

38: 名刺は切らしておりまして 2018/08/21(火) 15:37:50.84 ID:ydsLDy9b

単要素認証は危険

が抜けてるんだよね

 

39: 名刺は切らしておりまして 2018/08/21(火) 15:39:35.45 ID:B/XXXAgJ
変えろって要求されたら変えてすぐもとに戻すけど
Appleとかそれは前の前に使われていたので不可ですとか言う
めんどくさい

 

41: 名刺は切らしておりまして 2018/08/21(火) 15:44:54.53 ID:ybUOUiwl
>>39
アップル信者て
Mなんだろね

 

42: 名刺は切らしておりまして 2018/08/21(火) 15:50:42.93 ID:B/XXXAgJ
>>41
変えろって要求されないんだけどたまに忘れちゃうんだよね
んで変えるときにそう言われる
まあ忘れる原因が>>39なんだが

 

43: 名刺は切らしておりまして 2018/08/21(火) 15:54:02.91 ID:nwYQLQYF
定期変更のサイクル見破られたらヤバいやん。
期間はランダムだろJK。

 

44: 名刺は切らしておりまして 2018/08/21(火) 15:55:34.32 ID:nwYQLQYF
AmazonもYahooショッピングも対応しているのに、
楽天は何時になったら二段階認証対応するの?顧客の安全に配慮するの?コッソリ赤黒処理の楽天さん。

 

45: 名刺は切らしておりまして 2018/08/21(火) 16:03:15.41 ID:h/Jh36AX
パスワードジェネレータ&マネージャ+生体認証や二段階承認の方が安全かつ簡単と思う

 

46: 名刺は切らしておりまして 2018/08/21(火) 18:22:11.29 ID:lBlAmlRA
定期変更がどうこうよりも、使える文字とか文字数を統一してくれや
32桁。大小英数、記号くらいは使えるようにしてくれた方がいい

 

47: 名刺は切らしておりまして 2018/08/21(火) 18:27:58.70 ID:B/XXXAgJ
>>46
サーバに設定するやつの気分次第だから無理よ

 

48: 名刺は切らしておりまして 2018/08/21(火) 18:44:10.79 ID:Q5q0gfdE
再設定するときのリスクもあるね。
再設定を呼びかける偽のメールに釣られて擬似サイトに誘導されてしまう
ユーザーもいてかえってセキュリティホールになるとかね。

 

49: 名刺は切らしておりまして 2018/08/21(火) 19:03:36.20 ID:yqOPNIua
日本では平仮名パスが強いという話はどうなったんだ

 

50: 名刺は切らしておりまして 2018/08/21(火) 19:13:27.09 ID:B/XXXAgJ
>>49
ローマ字で文章入れときゃ結構強くね?
文節とかに大文字入れて、iを1、Oを0にするとかでさ

 

51: 名刺は切らしておりまして 2018/08/21(火) 19:34:03.99 ID:tYyTfHsT
昔からこんなの意味が無いと思っていた。だって、ほとんどの人間は数字の部分変えたりするだけだろ。
使い回しを止める方がはるかに有効。

 

52: 名刺は切らしておりまして 2018/08/21(火) 21:25:11.44 ID:B4eJROci
ログイン履歴がないのが1番問題だろ

 

53: 名刺は切らしておりまして 2018/08/21(火) 21:31:03.62 ID:t70iUi2T
一番入ってる口座は定期で変えてるわ

 

54: 名刺は切らしておりまして 2018/08/21(火) 21:34:22.14 ID:itV11vxD
ゆうちょダイレクトは、設定した覚えのない合言葉を要求されて郵便局でリセット
スマホのメアド変えたら旧メアドでワンタイムパスワード受け取れなくてまたもやリセット
それでいてトークンの出番がほとんどない

 

55: 名刺は切らしておりまして 2018/08/21(火) 21:37:14.83 ID:XpF0BfbJ
流出事故が起きたら変更するぐらいでいいよ

 

56: 名刺は切らしておりまして 2018/08/21(火) 22:13:38.72 ID:/Nk++z+1
急に桁数を増やせと言われて困ってる俺

 

57: 名刺は切らしておりまして 2018/08/21(火) 22:15:09.53 ID:0YILRnkY
パスワード流出時の責任回避のために言ってるだけだろJK
そもそもパスワードバレなければ変える必要がない
銀行の暗証番号だって最初に決めたらそのままだ

 

58: 名刺は切らしておりまして 2018/08/21(火) 22:22:23.16 ID:eejdPL5O
キーロガー仕込まれたら変更する方が危険だろう

 

59: 名刺は切らしておりまして 2018/08/21(火) 23:06:04.49 ID:sdcfwahI
コロコロ変えないといけないのはセキュリティ的にはマイナスだよ。
特に過去数回分の再利用を禁止したりとかすると管理できなくてパスワードが
机やモニターに貼ってあったりとか普通にあるし。

 

60: 名刺は切らしておりまして 2018/08/21(火) 23:39:35.90 ID:Nv4sw5Hx
>>59
人間は頻繁に変更するパスワードをソラで覚えておけるほど賢くないからね…

 

62: 名刺は切らしておりまして 2018/08/22(水) 01:49:28.67 ID:PstCjxy9
パスワード変更の情報がインターネット網を通ることのほうが問題
やるなら変更したパスワードの通知を郵便物もしくはFAXで送らないと

 

64: 名刺は切らしておりまして 2018/08/22(水) 02:31:58.15 ID:phdI4HcN
すげーしょぼいショップ会員サイト程度が
英字大文字小文字数字記号必須、さらに同じ文字は連続したらだめとか縛り付けると
お前ごときがそんなに渋いパスワード必要ないだろと

 

71: 名刺は切らしておりまして 2018/08/22(水) 05:14:04.94 ID:+PCqKv1U
>>64
素晴らしい

 

65: 名刺は切らしておりまして 2018/08/22(水) 02:41:22.76 ID:HLSD/qhw
特殊ルール押し付けるところ、ウザイよね

 

66: 名刺は切らしておりまして 2018/08/22(水) 02:54:52.50 ID:AeeX1nkc
>>65
逆向きの特殊ルール押し付けるところもあるけどね
大文字小文字区別なし・・・(某自治体の市民カードのログインパスワード
数字だけ・・・(確定拠出年金のログインパスワード
後者とか、唖然としてる

 

67: 名刺は切らしておりまして 2018/08/22(水) 03:05:36.23 ID:NUb4FBiW

パスワードの総当たりされたら割れるんだから
二段階承認しかないわな

パス変更なんて不要

 

68: 名刺は切らしておりまして 2018/08/22(水) 03:49:09.49 ID:6Uifuklo
重要なのは、使ってるすべてのサービスで別パスワードを使うことだよ
パスワードを変更するのより、こっちが重要

 

72: 名刺は切らしておりまして 2018/08/22(水) 06:32:41.49 ID:Kjp0M82o
>>68
まあ、それやると多くの人がパス忘れるんだけどね
そして忘れないようにメモっておいたデータや紙が流出と

 

73: 名刺は切らしておりまして 2018/08/22(水) 08:52:19.73 ID:f8G6c5XO

アルファベットは26文字数字は10文字
合わせて36文字
一桁増やせば暗号強度は36倍になる
アルファベットの大文字小文字を区別したり特殊文字を含めれば更に大きくなる

1ヶ月ごとにパスワードを変更するより一文字増やして1年ごとにパスワード変更する方がセキュリティとしては正解
もちろんパスワードがばれたら即時パスワード変更が必要になる

 

77: 名刺は切らしておりまして 2018/08/22(水) 15:52:08.76 ID:NETmVoaF
まあある程度長いパスワードは事実上クラック不能だもんな。
本人が紙に書いたり、何かでウッカリ漏らしたりしない限り。
パスワード破るのなんて空き巣より遥かにムズいよな実際。

 

78: 名刺は切らしておりまして 2018/08/22(水) 16:04:16.11 ID:55kz/gCl
パスワードを失念して永眠させたもの多数。
自分でもどうにもこうにもパスワードが破れない。

 

79: 名刺は切らしておりまして 2018/08/22(水) 16:11:23.15 ID:aB2c0dZ4
定期的に変更すると絶対に忘れるからどこかにメモしておくことになるからかえって危ない
あと忘れた時に使ってるパスワードをすべて入力することになるから
使ってるパスワードをまとめて全部盗まれる可能性が高くなる

 

81: 名刺は切らしておりまして 2018/08/22(水) 17:19:03.07 ID:FxgpBwQ+
アップルは顔認証を進化させたというが、UUUM所属のチューバーが8に戻してたんだよな…

 

82: 名刺は切らしておりまして 2018/08/22(水) 17:34:38.11 ID:q8eR79e7
WPAの事前共有キーを63文字全部使うとハードウェアに負荷が掛かるとかあるのかね?
テレビのWi-Fi機能が壊れてしまって、DLNA機能を使うために
有線LANをWi-Fiに変換するアダプタで代替してる

 

88: 名刺は切らしておりまして 2018/08/22(水) 19:52:01.09 ID:xxNHt0bu
>>82
結論からいうと変わらない
端末に入力するパスワードは認証用であって暗号用は固定長のパスワードが自動で5分おきに更新されていく

 

83: 名刺は切らしておりまして 2018/08/22(水) 17:48:06.22 ID:IqKyxihX
定期的に変更したほうが安全に決まってんだろ。

 

84: 名刺は切らしておりまして 2018/08/22(水) 17:58:01.82 ID:vRKXVMwS
アップル製品のパスワードのしつこさにはヘキヘキした
ipodtouchのような製品でもうるさすぎてかなわん
顔と指紋認証でOKにしろ
ジョブズは病気すぎるわ

 

85: 名刺は切らしておりまして 2018/08/22(水) 18:11:58.82 ID:4mI0Dk3A
いい加減文字だけのパスワードは止めろよ

 

87: 名刺は切らしておりまして 2018/08/22(水) 19:49:01.17 ID:nr0gslVU
そもそも銀行の暗証番号が数字の4桁で、ほとんどの客が生涯変更しないのに、なんで仲良しの銀行に指摘しないの?

 

89: 名刺は切らしておりまして 2018/08/22(水) 20:01:24.18 ID:ShgMgjtL
覚えてられるかってんだよ

 

90: 名刺は切らしておりまして 2018/08/22(水) 20:21:29.75 ID:VNPttUnd
その時ハマってる萌えキャラの名前で後ろ三文字をたんにしとけば忘れることないわ

 

92: 名刺は切らしておりまして 2018/08/22(水) 21:10:42.99 ID:KH2jsGPK
PWを覚えるんじゃなくてPW作成時のルールを作ってそれを覚えておけば良い。
そうすればサイトごとにPWを変えられるしPWを覚えていなくてもすんなりログインできる。

 

74: 名刺は切らしておりまして 2018/08/22(水) 10:40:55.01 ID:o1KjRo3O
不要なんだよなあ

引用元

http://anago.2ch.sc/test/read.cgi/bizplus/1534824404/

管理人からひと言

たまーに変えてるけど正味必要ないと思ってる

関連記事

  1. フェイスブック、また個人情報流出か 日本人含めて25万人分

  2. 【国際】ファーウェイ製品、英国でセキュリティ上の懸念の対象に

  3. 【セキュリティ】EAにサイバー攻撃、「FIFA 21」のソースコードなどが盗まれる

  4. 【IT】「Slack」「GitHub」悪用した標的型攻撃を確認、TwitterやSkypeなど感染端…

  5. カテゴリ_security

    【セキュリティ】どうでもいいアカウントにも強力なパスワードが必要な3つの理由

  6. 【IT】富士通 不正アクセスでの情報漏えい 官公庁や企業など129に

  7. カテゴリ_security

    【IT】Google Chromeで「ダウンロード爆弾」の不具合が復活、Firefoxなどにも影響

  8. 【IT】圧縮・解凍ソフト「WinRAR」にコード実行の脆弱性 スタートアップフォルダ内にマルウェア …

  9. 【尼崎USB】「紛失したのは協力会社社員ではなかった『協力会社の委託先の社員』でした」

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の人気記事

おすすめ記事

新着記事

  1. ワイ「独立系sierに就職決まったで!」友達「あー…内定決まって良か…
  2. 【悲報】弊社SESの千葉大卒の同期、優秀すぎるとかいうレベルを超越してもはや神
  3. SES「薄給です、現場ガチャです、まともな経験詰めません、35歳で現場入れなくな…
  4. 大手SIerの友達「AWSもPythonも研修でやった、基本情報も受かるのが当然…
  5. 現職SESもしくは迷ってるやつきたれ

ボンブの戯言

  1. 【ボンブの戯言】フリーランスのメリットを全否定してみた
  2. 【ボンブの戯言】ITエンジニアがフリーランスになる理由
  3. 【ボンブの戯言】ITエンジニアは、なぜうつ病になるのか
  4. 【ボンブの戯言】フリーランスが払う税金など6選!私たちはこんなに支払っている!
  5. 【ボンブの戯言】はじめました。
PAGE TOP