パスワードを忘れた? アカウント作成
12710143 story
セキュリティ

連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 53

ストーリー by hylom
定期的に出る定期的な変更の話 部門より

米連邦取引委員会(FTC)が3月2日、「Time to rethink mandatory password changes」(強制的なパスワード変更を再考するとき」というブログ記事を公開した。

最近では人々が管理するパスワードの数が増えており、沢山のパスワードを覚え、さらにそれらを頻繁に変更しなければならないことに苛立っている人も多いという。記事の著者であるChief TechnologistのLorrie Cranor氏は、そういった人々からどれくらいの頻度でパスワードを変更すべきか尋ねられることも多いようだが、それに対しては「そんなに頻繁に変更しなくても良い」と答えているそうだ。

記事では、実際にパスワードを変更する必要があるタイミングとして、パスワードが盗まれた可能性がある場合としている。また、その場合にはそのパスワードやそれに似たパスワードを使っているすべてのサービスについて、パスワードの変更を行うべきだとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by NOBAX (21937) on 2016年03月07日 15時52分 (#2976120)
    という議論は、以前から各所でされています。
    例えば徳丸さんのところ [hatena.ne.jp]とか。
    大谷さんは計算 [jnsa.org]もされています。

    IDやパスワードを変える意義としては、
    それらが漏えいし、なおかつサービス提供者がそれに気が付かないとか、黙っていたといった
    リスクに対処するためくらいしか思いつかないのですが。
    • ・三ヶ月で必ず変えないといけない。
      ・直近のn回分のパスワードとかぶるのは利用不可。
      ・名前、生年月日、電話番号などが含まれる文字列は使用不可。

      会社の人事勤労系と社内ITシステムとやらの複数のシステムで要求されるパスワードがコレ。
      いい加減社内の認証系は一つにまとめてくれないかなと思うけど、各部署の壁があるのでそれはデキない相談らしい。
      素晴らしき縦社会。

      #3つめは流石に誰も使わない。はず。

      親コメント
      • by Anonymous Coward

        「11111111」「22222222」とかがループで回るケースが多い。

        # サンプルはウチの職場。

      • by Anonymous Coward

        私が会社のパソコンに設定しているのは自分の名前ですね.考えるのがめんどくさい.
        当然ドメインコントローラーなどで物理的に設定不可能な場合を除いてですが・・・.

        当たり前ですが,家で設定しているパスワードはくっそ長いですし,英大小数字など入り組ませています^^

      • by Anonymous Coward

        これで英数字のみ8文字以内とか冗談抜きであったりするからね。
        ♯|\いれたらシステムエラーで大草原。

      • by Anonymous Coward

        三か月で必ず変えろということで、付箋使い始めました。

        えー、だって忘れちゃうんだもん。
        そういう、おいらは自称情報セキュリティアドミニストレータ保持者。

    • by Anonymous Coward

      つまり、ウェブサービスから「定期的にパスワードを変更してくださいまずは今すぐ」って言う通知が着たら、
      こいつらやらかしたんだなぁしょうがねぇな、ということか。
      やっぱり変えたほうがいいんじゃないか・・・。

      • by Anonymous Coward on 2016年03月07日 19時33分 (#2976273)

        >つまり、ウェブサービスから「定期的にパスワードを変更してくださいまずは今すぐ」って言う通知が着たら、
        >こいつらやらかしたんだなぁしょうがねぇな、ということか。

        いや。まずは「フィッシングじゃないか?」って疑うべきだ。

        親コメント
    • by Anonymous Coward

      > それらが漏えいし、なおかつサービス提供者がそれに気が付かないとか、黙っていたといったリスク

      を想定しないなら、対策しなくて良いわけです。
      が・・・
      昔使った今は使ってないサイトからの平文パスワード漏洩、を想定した対応として、同じパスワードを複数サイトで長期にわたって使うのを避ける意味はあるわけです。
      程度問題ではありますが。

      • by Anonymous Coward

        パスワードが変更されない場合盗聴者には好都合なのですよね。
        一度パスワードとIDを入手すれば済むので。
        このブログを書いたのがそういうことをやってそうな部署ってのがいかにも…

        • by Anonymous Coward

          そのためのアクセス解析。
          自分の覚えのない時間帯に、覚えのない所からのアクセス(ログイン)があったらやばいってこと。

          定期的なパスワード変更より定期的なアクセス解析が重要かつ効果的。

          • by Anonymous Coward

            それができないサービスもあるのですよ。

    • 2番目のリンクで定期的変更が無意味な理由が3つ挙げられているが、どれもいまいちピンと来ない。

      第一の理由は、ユーザが定期的なパスワード変更を確実に実施するとは限らないことである。まず、ユーザにパスワードの定期的変更を呼び掛けただけでは、パスワードを変更しない。パスワードに有効期間を設けて変更を強制するしくみを導入すれば、この問題は解決するが、パスワード忘れに対応するための問い合わせ窓口の開設や再発行のための安全なしくみの提供が必要になるだろう。

      →Windowsを始め、たいていの最近のシステムには強制的にパスワードの有効期間を設ける仕組みが備わっているよね。
      そのような仕組みがない場合の話をされても、反論になっているとは思えない。
      むしろ、「サービスごとに別パスワードにする」ほうが、システム的な強制が困難じゃないの? それについてはコメントなし?

      第二の理由は、ユーザが定期的にパスワードを変更したとしても、使ったことがあるパスワードを使い回したり、他のWebサイトと同じタイミングでパスワードを変更したりと、リスクが十分に軽減されないおそれである。どこかひとつの他のサービスのセキュリティ対策が不十分でIDとパスワードが漏えいしてしまえば、残りのサービスも不正ログインされてしまう。それならば定期的な変更を強制せず、自社のサービス専用のパスワードを設定させるほうが、他のサービスのセキ

      • by Anonymous Coward

        これだよね。

        「どんなパスワード運用にするのがより良いか」というのは有益な議論なのだが。
        その議論の結果をもって「理想的な運用以外は無意味」みたいな極論に走るのはセキュリティを理解してない馬鹿のすることなんだが、自覚がないらしいから始末に負えない。

        # もちろん「逆にセキュリティ的に脆弱性を作る」プラクティスは避けるべきだが「やらないよりはマシ」なものまで否定するのはおかしいってことで

        • by Anonymous Coward

          なんか、結論が断定的なわりに、論拠がフワッとしてるんだよねえ。

      • by Anonymous Coward

        「面倒だから」を正当化しようとして理屈こね過ぎなんだよな。結論ありきで中立の視点に立ててない。
        複数の切り口で分析して全ての点で定期的変更が劣っている結論を示している、なんて事があるわけないだろと自分で言ってて疑問を持たないのかってね。

        定期的変更は本来行った方がより安全なのは間違いない。そのスパンは短ければ短い程安全。
        とすれば、3ヶ月に1回というのもそもそもが妥協の産物。宜しくない。
        ヘタな定期変更運用は無い方がマシ、とする論もあるが、そもそも単要素パスワード認証の安全性に不安があるため、
        定期変更運用というアイデアが生まれた事を間違ってはいけない。何の工夫も無い固定運用も無論安全ではない。

        とすれば、他の認証方法を選ぶのが次の適切な一手であるはずだ。
        スマホなりPCなりRFIDなり何かしら使える道具はあるだろう。

      • by Anonymous Coward
        ・糞めんどくさい割にセキュリティが向上しない
        ・糞めんどくさい運用を強制されたユーザはあらゆる方法でセキュリティを下げる努力を始める(付箋とかな)
        この2点以外に何か理由いる?
    • by Anonymous Coward

      特定の利用条件に限定してる上に、総当たり攻撃を想定した計算とか誰も議論対象にしてないだろ
      比較が論理崩壊してるし一般化できるような主張には見えないな

      利用者のミスで知らぬ間に漏洩させてる可能性が無視できるほど優秀な利用者を暗に想定しているということかな
      5年でも10年でも同じパスワード使い続けてて絶対安心できるなら変えなければいいし、そこまでのセルフコントロールに自信が持てない自分なんかは定期的にパスワード変更してる

      サービス提供側から見ても利用者により高い安全性を提供するために、パスワード強度だの定期変更だのといった防衛策を推奨するのは当たり前で陰謀論の出てくるような話じゃない

    • 何でも良いけど、同じパスワードを入れようとすると、
      「同じパスワードはダメです!」的なメッセージ返ってくるし

      おまえ、パスワード読めているじゃん!的に思うのは
      俺だけ?

      • by Anonymous Coward

        それは君だけじゃないかな……

      • by Anonymous Coward

        君だけやね

      • by Anonymous Coward

        お前は不可逆に保持してるパスワードでどうやって認証してるのかを考えるべき

      • by Anonymous Coward

        パンツに穴が空いたら引き出しに貯めておかないで捨てましょう

    • by Anonymous Coward

      3か月ごとに変えないといけないうえ、直近10回のパスワードは使用不可やなぁ

      社内セキュリティ部門のお偉いさんが変わった記念かなんかでパスワード変更しろって命令がきたこともあるな。
      パスワード漏れたんじゃないかとかとりあえずの実績作りかとかいろいろ言われたけどダンマリで理由は一切明かされなかったけど。

    • by Anonymous Coward

      デフォルトのグループポリシー/ローカルセキュリティポリシーが変更することになっているから

      (設定変更しろ

  • by junichi308 (15687) on 2016年03月07日 15時40分 (#2976115)

    無駄に違うポリシーのせいでパスワードの種類が増えていって
    管理しきれなくなって付箋化したりテキストファイル化してるのよくあるw

    • by Anonymous Coward

      >管理しきれなくなって付箋化したりテキストファイル化してるのよくあるw

      スラドでそう書くと、パスワード管理アプリを使えばいいのに、とよく書かれます。

      • by mtdra (35226) on 2016年03月07日 20時40分 (#2976307) 日記

        > パスワード管理アプリを使えばいいのに

        規定されたもの以外の導入は許可が必要です(許可するとは言ってない)。
        コンピュータに近い職場程そんな感じなのはなぜだろう。

        なお、私用ではKeePass。みんなは何を使ってる?

        親コメント
      • by Anonymous Coward

        さすがにテキストファイルでは残しておきたくはないな

    • by Anonymous Coward

      辞書に載っている単語は不可
      英数字と記号を混ぜろ
      ある程度長いのが好ましい
      過去1年以内に使ったパスワードは不可
      複数のサイトで使いまわしてはいけない
      メモしてはいけない、暗記しろ
      一か月ごとに変更しろ

      等々、ルールを厳しくすれば QAZWSXEDC1!, QAZWSXEDC2"なんてのを12個用意されるだけなんだよね。

  • どこかで定義してくれないものか…
    特に記号周りは使えたり使えなかったり、または一部の記号しか使えなかったりというのがあるととても不便なんだよね。

    #いい加減使用パスワードのルールを統一したい

    • by Anonymous Coward on 2016年03月07日 16時23分 (#2976142)

      パスワード決めさせる欄に要件が書かれていないにもかかわらず、
      記号混じりのパスワードを設定したときに
      「パスワードは英数字で設定してください。」なんてエラーが出ると、
      UIと画面遷移考えた人のうんこが硬くなれば良いのにって思います。

      親コメント
    • >特に記号周りは使えたり使えなかったり、または一部の記号しか使えなかったりというのがあるととても不便なんだよね。

      英字,数字,記号の「三種類の文字が使える」のは良いとして
      「三種類の文字を使わなければいけない」ところがうざい。

      親コメント
      • by Anonymous Coward

        大文字を一つは入れろとかな
        Appl○おめーのことだよ

        • by Anonymous Coward

          大文字小文字を混ぜろぐらいは仕方ないでしょう。
          でもたいてい先頭一文字を大文字にして終了なので、やる意味が薄いというか。

          ごちゃまぜにしないと受け付けないと言われたら流石に入力する気失せる。

          • by Anonymous Coward

            英大文字、英小文字、数字、記号を各1文字以上混ぜろと言ってくるところもある。
            Bizメール、おまえのことだよ。勘弁してくれ。

            • by Anonymous Coward

              P@ssw0rdですね。
              これなら覚えやすいし危険なパスワードランキングにも載っていないから大丈夫なはず。

      • by Anonymous Coward

        最低文字数増やせよ阿呆がですよね。

      • by Anonymous Coward

        英字,数字,記号の「三種類の文字が使える」のは良いとして
        「三種類の文字を使わなければいけない」ところがうざい。

        これは、辞書に載っている文字列を使わせないためなのだとか。

      • by Anonymous Coward

        あなたのつけたいパスワードの先頭もしくは末尾に1q!Qとでもつけておけば済む話ですね。それ以外の部分は付箋にでも書いて、ディスプレイに貼っておきましょう。

  • パスワード変更禁止期間って必要?
    直前のパスワードに戻すのを抑止するためだっけか? それなら過去のパスワードをハッシュとかでシステムに保存しておけば良いことだよね。

    でも、これってパスワードが漏れた危険性に気付いてもパスワードが変更できな事があるから大問題だと思うのだ。
    たとえば、操作説明中に指を読まれてるっぽい時や、やむを得ず同僚をリモコン操作した後とか。大量のパスワードを書いたメモを落としたときとか(笑)。
    当然システム的にはすぐに解除できるだろうけど、そういうポリシーの場所はそれが難しかったりするし。

  • 訓練された国民()の、セキュリティ意識を下げるためさ。

    ・・・的な話に持っていける人はいくらでもいそうなのに、ここまで無し。
    さすがに飽きたか。あるいは敢えて申すも愚かとか?

    # この記事でパスワードの定期変更しなくなる人が一定数見込まれると思うから、
    # 私は陰謀論に一票。
    # 有名企業による、お上の言うことなんて聞かないよアピールが続いているし。

    • by Anonymous Coward

      既にパスワードを定期的に変更するのは無意味というのが既に常識になってるからじゃないかな

      #もしかしてネタにマジレス?

    • by Anonymous Coward

      NSAやGCHQ http://security.srad.jp/story/15/09/21/2115257/ [security.srad.jp] ならわかるけどFTCが陰謀企む理由って。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...