パスワードを忘れた? アカウント作成
14072583 story
アメリカ合衆国

米国とカナダでの調査、最近90日以内にパスワードを忘れてパスワードリセットが必要になったとの回答が78% 19

ストーリー by hylom
むしろ覚える気がない場合もある 部門より

headless曰く、

パスワードレス認証サービスを提供するHYPRの調査によると、最近90日以内にパスワードを忘れてパスワードリセットが必要になったとの回答が私生活で78%、仕事で57%に上ったそうだ(プレスリリースSoftpediaインフォグラフィック)。

調査は米国とカナダのフルタイム労働者500人以上を対象に、2年半かけて行われたもの。調査期間のわりに対象者が少ないような気もするが、回答者の19%は仕事で使うパスワードが10個以上あり、37%は個人で使うパスワードが20個以上あるという。パスワードの管理方法としてアプリを使用するという回答は26%/30%(仕事/個人、以下同)に過ぎず、パスワードのリストを紙またはデジタルデータの形で作っているという回答が32%/35%に上る。一方、42%/35%は自力で記憶していると回答したそうだ。このほか、仕事でパスワード変更が強制された場合に既存のパスワードを一部変更して再利用しているという回答が49%、個人用のパスワードを再利用しているという回答が72%に上ったとのことだ。

個人的には先月、使用していなかったTwitterアカウントでパスワードが思い出せずにパスワードリセットしたばかりだが、スラドの皆さんはいかがだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年12月19日 15時04分 (#3733961)

    毎回再設定すればいいじゃん

    • by Anonymous Coward on 2019年12月19日 15時27分 (#3733979)

      パスワード再設定用の URL がメールで送られてくるけど、メールのパスワードがわからない(実話

      親コメント
      • by Anonymous Coward

        メールアカウントはいくつか使い分けてるけどGmailが起点になるからこれを忘れると詰むな。
        2段階認証とGoogle認証システムの引き継ぎ忘れも結構厄介。

        いやー。あらためて考えるとGoogle様にキンタマ握られてるなぁ。

    • by Anonymous Coward on 2019年12月19日 17時44分 (#3734102)

      1.安いプロバイダを見付けたので乗り換えた
      2.これまでのプロバイダのメールアドレスは使えないので、新しいプロバイダのアドレスに変更した
      3.メールソフトのメールアドレスももちろん変更した
      4.しかし、各ウェブサービスの登録メールアドレスの変更までは気が回らなかった
      5.PCのHDDが壊れたので修理に出し、戻ってきたのでいろんなソフトを再インストール
      6.Officeをインストールしたいが、PCを買ったときに付いてきたカードに記載のキーと新しいメールアドレスを入力してもダウンロードできない
      7.そもそも、マイクロソフトアカウントとメールアドレスが紐付いている事も知らなかったし、どのメールアドレスで登録したかも忘れた
      8.メールアドレスはやっとわかったが、パスワードが思い出せない
      9.パスワード再設定をするにも、登録済のメールアドレスは古いし、電話番号も未登録
      10.結局パスワードを再取得できずに詰んだ

      こんな人を最近よく見掛けるので要注意

      親コメント
      • by Anonymous Coward

        そういう人にこそリセット前提運用は向いてますね。
        メールアドレスがログイン認証上極めて重要なポジションに置かれていることに気付けるはず。

    • by Anonymous Coward

      これに尽きる
      パスワードの使いまわしも防げるからデメリットも小さい

    • by Anonymous Coward

      スラド民大好きひろみちゅメソッド [takagi-hiromitsu.jp]ですね。なお、その結果

      実際に運用してみて困ったのは、スマホアプリで使うこともあるサービスの場合です。スマホアプリは、パスワードの自動入力に対応していないので、手で入力することになります。最初の1回は、パソコンのパスワード管理機能が覚えているものを画面に表示させて、ランダムな12文字を目で確認しながら打ちました。面倒な作業ですが、1回するだけならいいでしょう。ところが、あるスマホアプリは、パスワードを覚えてくれないものでした。宅配便の到着状況を確認するアプリ*4なのですが、外出中にいざ使おうとしたとき、パスワードの入力を求められ、パソコンのパスワード管理機能を見に行かないとわからず、その場で使えませんでした。

    • by Anonymous Coward

      一時期のアマゾンは再設定メールを受け取るかワンタイムパスワードを受け取るか選べたな。

  • by Anonymous Coward on 2019年12月19日 14時22分 (#3733939)

    Microsoft
    「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」
    https://www.itmedia.co.jp/enterprise/articles/1904/26/news082.html [itmedia.co.jp]

    総務省
    「内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています」
    https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy... [soumu.go.jp]

    NIST(National Institute of Standards and Technology/米国国立標準技術研究所)
    「ユーザーが攻撃を受けた証拠がある場合を除き、認証側は定期的にパスワードの変更を求めるべきではない」

    弊社情シス
    「3ヶ月毎に強制変更したまえ。異論は認めない」

    圧倒的。何が?

  • by Anonymous Coward on 2019年12月19日 14時49分 (#3733950)

    この間PCを新調したときは、Firefox Syncのパスワードのリセットからだったな。
    パスワードに使う単語にパターンはあるが、組み合わせはそのときの気分次第なのでほぼ覚えていない。
    根気よく組み合わせを試せば当たるときもある。

    個人用のパスワードの再利用は、誰かに教えないといけなくなったときにまずいから絶対やらない。
    逆に昔使ってた仕事用の英数羅列のパスワードを個人用のパスワードの一部に使ってたり。

  • by Anonymous Coward on 2019年12月19日 14時52分 (#3733953)

    パターンA:数字のみ
    パターンB:英数字のみ、'.'や'-'や'_'を含め記号不可
    パターンC:英数字と記号が使用可
    パターンD:英字・数字・記号を全種最低一文字含める必要あり
    パターンE:英字大文字・英字小文字・数字を全種最低一文字含める必要あり
    パターンF:パターンDまたはEに加え、過去に一度でも使用したパスワードに戻すことも禁止、パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?それとも平文をサーバで持ってる?)

    上記パターンを考慮しながらサイト毎に別々のパスワードを設定するとしても、個々のサイトが上記パターンのどれに該当するかは忘れがち。
    そしてパターンFのサイトは、パスワードリセットのたびにパスワードがだんだん覚えづらくカオスになっていく……

    • パターンA:数字のみ
      パターンB:英数字のみ、'.'や'-'や'_'を含め記号不可
      パターンC:英数字と記号が使用可
      パターンD:英字・数字・記号を全種最低一文字含める必要あり
      パターンE:英字大文字・英字小文字・数字を全種最低一文字含める必要あり
      パターンF:パターンDまたはEに加え、過去に一度でも使用したパスワードに戻すことも禁止、パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?それとも平文をサーバで持ってる?)

      全サーバー管理者で格闘トーナメントを行ってもらって
      優勝したサーバー管理者のポリシーに統一しよう

      おれはパターンCの管理者に優勝してほしい
      なんで数字や記号を最低1文字使用しろとか命令されなきゃならんのだ

      親コメント
    • パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?

      (パスワードの文字数)×(英字数字記号の種類の数)のパターンでハッシュを計算し比較するだけなら,ほぼ一瞬で可能かも。

      親コメント
    • パスワードに自身のユーザーIDを含めるのが禁止なのは当然ですが、(組織内の)他人の
      ユーザーIDを含めるのも禁止されてるのはどうかと思ったことがあります。
      ユーザーIDが氏名から生成されていると、パスワードに例えば自分の好きな芸能人の
      名前を使おうとすると引っ掛かる可能性があります。

      ただ攻撃者の総当たり用の辞書には主な姓名が含まれているだろうと考えると、当然のポリシー
      なんでしょう。

      親コメント
    • by Anonymous Coward

      パターンFのサイトで64^8回パスワード変更かけようずwwwwww

      # パスワードマネージャで自動生成すればハネられた時に禁止文字と字数削るだけだぞ

  • by Anonymous Coward on 2019年12月19日 15時37分 (#3733992)

    スラドのパスワード忘れて何年も経ってる!
    でもACで全然困っていない!!
    あ、おもおか5のハードルがちょっと上がったってのがあるか。

    # 登録時のメールアドレスはもう無効になってるし…

  • by Anonymous Coward on 2019年12月19日 19時30分 (#3734177)

    パスワードなどはなから覚えようとせずに、ログインのたびにパスワードリセットするという運用ね

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...