パスワードを忘れた? アカウント作成
13561188 story
日本

総務省、「パスワードの定期的な変更は不要」と方針変更 100

ストーリー by hylom
これが周知されるまで何年かかったのか 部門より
NOBAX曰く、

3月1日、総務省の「国民のための情報セキュリティサイト」の内容が変更され、「利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。」という内容となりました(日経新聞)。

パスワードの定期的な変更はかえって危険という事はいろいろな方面で言われており、例えば「パスワードは定期的に変更してはいけない」--米政府実は危ない、パスワードの定期変更(日本経済新聞)などといった記事もあります。

Windowsや多くの金融機関のホームページなどでは定期的なパスワードの変更を要求してきますが、今後、どのような対応になるのでしょうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 今の会社 (スコア:4, 興味深い)

    by nemui4 (20313) on 2018年03月27日 14時35分 (#3383149) 日記

    思いつくだけで社内の8つのシステムで個別にID/passwd管理をしていて。
    それぞれが1Q~半年に一回パスワードを変更しなければいけない,英大小数記号全部混ぜて8文字以上 & 過去のパスワード使用不可。
    という利用者負荷の高い運用になってます。
    他にも名前だけ知っていて自分が使ってないシステムも有るので、そっちも一緒だと思われ。

    勤怠管理システム
    教育システム
    購買系システム
    文書管理系システム
    資産管理システム
    健康管理システム
    ActiveDirectory(Windows)
    従業員共通認証システム(上記各システムとは別)

    >パスワードの定期的な変更はかえって危険という事はいろいろな方面で言われており、例えば「パスワードは定期的に変更してはいけない」--米政府や実は危ない、パスワードの定期変更(日本経済新聞)などといった記事もあります。

    という意見を誰が具申しても聞く耳持たずだけど、変わるかな。
    やっぱり、変わらないか。

    • by st1100 (45287) on 2018年03月28日 23時21分 (#3384257)

      それだけ認証機会が多いと、偽のパスワード入力画面が紛れ込むリスクが高いと思う。
      技術屋は気を付けられるかもしれないが、事務屋は気づかずに情報を抜かれるんじゃないだろうか。

      親コメント
    • by Anonymous Coward on 2018年03月27日 14時39分 (#3383159)
      >社内の8つのシステムで個別にID/passwd管理をしていて
      シングルサインオンで運用しようよ…
      しないんなら少なくとも
      >ActiveDirectory(Windows)
      これは廃止してシステム7つに減らせるよ…
      親コメント
      • by nemui4 (20313) on 2018年03月27日 14時51分 (#3383172) 日記

        >シングルサインオンで運用しようよ…

        してほしいよね。
        それぞれ管理元部所や運用請負先が違うので難しいらしい。

        最初にADでPCを使う前提なので、可能であればこっちの認証に統合して欲しいけど、できないんすかねって、出来ないからやらないんだろうけど。

        親コメント
        • by Anonymous Coward

          AD あるのに、個別の認証システム用意するって、普通に考えれば、開発コストも運用コストも跳ね上がるわけで面倒なはずなんだけどね。

          開発元が違ったって、開発も管理も手間は何も変わらんのだけど、なんでそんな事になっちゃったのだろうね。

          • by Anonymous Coward

            入れ子の組織構造をうまく運用できないのかもね。「AD管理者が末端まで把握しなければならなくなる。それ以外の権限分割を俺は理解できないのでだめだ」とか。

      • by Anonymous Coward

        AD廃止してどうやってログインするんだよwww
        ADに統合するのが筋だろ

    • by Anonymous Coward

      そうですか。

    • by Anonymous Coward

      共通認証システムとはなんだったのか…。

      • by nemui4 (20313) on 2018年03月27日 14時57分 (#3383178) 日記

        >共通認証システムとはなんだったのか…。

        その他の小さい有象無象システムで自前で認証管理していないところで使われています。
          .htaccess みたいなもんなんすかね。(あまりよくわかってない)
        こっちもパスワードを定期的に変更しないと登録やり直しになって、結局めんどくさくて使わない人が増えていってる。
        だいたい小規模な手続用なので、使わなくてもなんとかなるのも悪いところ。

        いっそ社内向けは全部これを使うという仕様にしちゃえばいいのに、何故かそうしない。

        親コメント
  • そもそも (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2018年03月27日 15時14分 (#3383197)

    利用頻度と変更頻度のバランス大事だと思う。
    数ヶ月に一度しか使わないシステムのパスワード有効期限が3ヶ月って、結局毎回変更しろって言われるし。
    バカらしい。

    • by nnnhhh (47970) on 2018年03月27日 15時45分 (#3383225) 日記

      そういうシステムはぜんぶ2段階認証にしちゃえばいいと思います
      実際のところそうなってる(毎回メルアドやSMS認証経由でパスワード変更->ログイン)し、
      だったら合間にパスワードでログインできる必要なんかないよね

      親コメント
      • by Anonymous Coward on 2018年03月27日 17時03分 (#3383282)

        まだ少ないけど、パスワード不要で、ログインの際にメールアドレスだけ入力させて、
        メール送って、本文のリンククリックでログインさせるサービスがチラホラ。
        覚える必要もないしセキュリティ的にも悪くはないけど、手間と時間というコストがかかる。
        短期間の再来なら自動ログインできるし、自分は嫌いじゃない。

        親コメント
  • by Anonymous Coward on 2018年03月27日 16時12分 (#3383245)

    「定期的にパスワードを変えることで、万が一破られても永続的にデータを盗まれ続けることは無い」って言う馬鹿には
    「ログインチェックと通知等速やかに異常を感知しすぐに遮断等対策できるシステム構築するのが圧倒的に正しい」
    って言える世の中になってるってのもあるよね。

    いにしえの不正アクセスと言えばデータの盗み見・コピー自体が主ってイメージがあったが、今や不正アクセスされた時点でバックドア仕込まれて漏れ放題、パスワード変更など無意味だという意識が必要だし。

  • 定期的に変更するべきじゃない場合と
    定期的に変更する必要がある場合とがあるので必ずしなくなるとそれはそれで困るかも。

    • by Anonymous Coward

      十分な強さのパスワードなら、定期的な変更は不要なんですよ。

      パスワードの定期的な変更を求められるシステムについては、「規則性のあるパスワード」を「付箋でモニタに貼っています。」
      性分として、使いまわしはしていませんが、貼る人の気持ちを満喫しています。

      • "十分な強さのパスワード"で"定期的に変更を求められる"システムとかあります。
        態々セキュリティリスク増やして何がしたいんだ。

        親コメント
      • >パスワードの定期的な変更を求められるシステムについては、「規則性のあるパスワード」を「付箋でモニタに貼っています。」

        Quota毎にパスワード変更をしなければいけない ∧ 前n回のパスワードと同じではいけない
        ∧ 英数記号を必ず含む。という縛りの場合。
        YYYY(年)[干支]-q[1-4]
        例)2018inu-1
        #更にひねらないとバレやすそう

        親コメント
      • by Anonymous Coward

        十分な強さのパスワードなら、定期的な変更は不要なんですよ。

        「定期的に変更するべきじゃない」が常識だってそれだけの知識でいると危険ですよ。

        例えばパスワードを複数人で共有するようなシステムでは定期的に変更する必要があります。

        • by Anonymous Coward

          他にも、管理者している人間(グループ)が定期的に(入れ)変わるシステムで
          管理者IDが固定のシステムとかだと、定期的にパスワードを変更しないと危険ですよね

          sudo使わず運用しているLinuxとか、Administratorのみが管理者のWindowsとか
          パスワード運用まで考えられていないアプライアンスとか

          あとは、漏洩が疑われるサービスとか、脆弱であることがわかっているのに
          使わなきゃいけないサービスとかかなぁ・・・

          • by Anonymous Coward on 2018年03月27日 17時41分 (#3383306)
            それは(本質的には不定期に発生する)パスワードを変えるべきイベントが定期的に起きているだけで、定期的にパスワードを変更しているのではないのでは
            まさか臨時で人が出入りした場合でも更新期日じゃないからという理由で旧パスワードを使い続けるわけじゃないんでしょ
            あと、漏洩が疑われるのをパスワードの定期更新で対処しようとするならば、攻撃側の使用できるCPUなどのリソースは年々増加していくので、更新周期は逆に年々短くしていかなきゃならないわけですが、ちゃんとできてますか?
            親コメント
            • by Anonymous Coward

              Correct Horse Battery Staple 問題だな
              定期変更はオフライン辞書攻撃対策だから辞書攻撃のリスクを論じないといくら短く設定しても無駄だとか
              英数大小記号を混ぜた複雑なパスワードを使っても総当たりの実行時間は桁数乗に比例するから精々数桁増やした英字より弱くなるとか
              理論を学んでいない素人セキュリティ管理者にありがちな無知があるな

            • by Anonymous Coward

              それは(本質的には不定期に発生する)パスワードを変えるべきイベントが定期的に起きているだけで、定期的にパスワードを変更しているのではないのでは

              定期的にパスワードを変更するべきではないルールのなかに
              それでも定期的にパスワードを変更するべきルールがあります。

              定期的にパスワードを変更するべきではないといいはじめた途端に
              定期的にパスワードを変更するべきではないばかり言う人がいるがそれは違うのです。

              まさか臨時で人が出入りした場合でも更新期日じゃないからという理由で旧パスワードを使い続けるわけじゃないんでしょ

              それは逆説です。

    • by Anonymous Coward

      パスワード認証をやめて証明書認証に変えよう

  • 実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。

    強固なパスワードだからと余裕こいてたら、ユーザーのパスワードが流出しててサービス運営側が何年間も気づかずユーザーへの通知もなくクラックされ放題だったとかね。

  • by Anonymous Coward on 2018年03月27日 14時33分 (#3383145)

    校長先生「パスワードを変更する必要がなくなるまで3年かかりました」
    まだまだこれからだ…

    • by Anonymous Coward on 2018年03月27日 16時33分 (#3383257)

      実際、社内規定でパスワードを定期的に変更すると定めてあったり
      ISMS規定に書いてあったりすると、改訂しなきゃいけません。
      (ISMSはそういうものも含めて改善していく仕組みだけど.

      親コメント
  • by Anonymous Coward on 2018年03月27日 14時37分 (#3383154)

    毎回毎回独自の全くランダムな文字列にすればよい。

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...