1: 田杉山脈 ★ 2018/08/21(火) 13:06:44.47 _USER
インターネット上のサービスを利用する際に設定するパスワードについて、利用者に定期的な変更を呼びかけるかどうか、国や民間企業の間で対応が分かれている。定期変更を呼びかけてきた総務省が昨年、方針を転換したためだが、困惑も広がっている。
総務省は昨年11月、国民にネット利用時の指針を示しているホームページ「国民のための情報セキュリティサイト」で、パスワードについて「定期的な変更は不要」と明記した。内閣サイバーセキュリティセンター(NISC)が「情報セキュリティハンドブック」で使い回しをしないことを前提に「変更の必要なし」としたことを受けての措置だ。
これに対し、経済産業省の民間企業向けの「情報セキュリティ管理基準」では、「定期的に、必要に応じて変更させる」としたままだ。
こうした国の動きを反映してか、民間の対応は割れている。交流サイト大手「ミクシィ」は今年4月、NISCや総務省の方針に従って、利用者への定期変更の呼びかけをやめた。一方、都内の証券会社は、顧客に定期変更を呼びかけており、「国の方針変更は把握しているが、それが適切かどうか協議が必要で、導入には時間がかかる」とする。インターネット銀行の担当者も「顧客の安全性を第一に対応を検討中」と対応を決めかねている。
https://www.yomiuri.co.jp/science/20180820-OYT1T50049.html
16: 名刺は切らしておりまして 2018/08/21(火) 13:49:40.96
>>1
しかし、
パスワードは、盗もうと思えば盗めるものなのか?
だとしたらパスワードの意味なくねえ?
しかし、
パスワードは、盗もうと思えば盗めるものなのか?
だとしたらパスワードの意味なくねえ?
20: 名刺は切らしておりまして 2018/08/21(火) 13:56:59.26
>>1
パスワード変更要請には、何かウラがありそうだな。
パスワードが盗まれるものなら、
幾らパスワードを変更してもムダ。新しいバスワードが盗まれるからな。
つまり、パスワード変更要請の前提として、
パスワードを盗んだ者が、一定期間、そのパスワードを使って窃盗をしないということが必要だが、
そんな馬鹿なハッカーはいないだろう。
パスワード変更要請には、何かウラがありそうだな。
パスワードが盗まれるものなら、
幾らパスワードを変更してもムダ。新しいバスワードが盗まれるからな。
つまり、パスワード変更要請の前提として、
パスワードを盗んだ者が、一定期間、そのパスワードを使って窃盗をしないということが必要だが、
そんな馬鹿なハッカーはいないだろう。
21: 名刺は切らしておりまして 2018/08/21(火) 13:59:23.52
>>20 の続き
おそらく、パスワード変更要請は、内部犯の犯行防止のためだろうな。
おそらく、パスワード変更要請は、内部犯の犯行防止のためだろうな。
2: 名刺は切らしておりまして 2018/08/21(火) 13:15:54.64
現実に、定期変更している人なんていないし、定期変更を呼びかけてる本人もしていない
言い訳作りのためだけに呼びかけてるに過ぎない
言い訳作りのためだけに呼びかけてるに過ぎない
69: 名刺は切らしておりまして 2018/08/22(水) 03:50:28.54
>>2で終わってた
3: 名刺は切らしておりまして 2018/08/21(火) 13:19:12.71
不要だな。
他人から推測されにくいのと、他所との使い回しを避ければそれでいい。
他人から推測されにくいのと、他所との使い回しを避ければそれでいい。
4: 名刺は切らしておりまして 2018/08/21(火) 13:19:35.50
IDとパスワード入れても動かね相談先電話しても訳わからん
5: 名刺は切らしておりまして 2018/08/21(火) 13:21:09.19
イオン銀行とか
30日ごとに変更アナウンスくるけど
やりすぎじゃね?
30日ごとに変更アナウンスくるけど
やりすぎじゃね?
14: 名刺は切らしておりまして 2018/08/21(火) 13:47:35.01
>>5
ちゃんとセキュリティ関連のアナウンスはしてますよアピール
ちゃんとセキュリティ関連のアナウンスはしてますよアピール
7: 名刺は切らしておりまして 2018/08/21(火) 13:26:56.87
金融機関だと回数間違えるとロックされるから ピンポイントでパスが盗まれることがない限り基本的には破られない
ネット上で何かされるより 実はリアルでIDパス書いたやつを直で取られる(盗まれる拾われる)みたいなリスクの方が遥かに高い
ネット上で何かされるより 実はリアルでIDパス書いたやつを直で取られる(盗まれる拾われる)みたいなリスクの方が遥かに高い
9: 名刺は切らしておりまして 2018/08/21(火) 13:33:15.91
そんな事より2段階認証を義務付けろよアホ
10: 名刺は切らしておりまして 2018/08/21(火) 13:36:21.56
どっちにしたって危険度はたいして変わらないよ。
パスワードなんて、クレカなど重要なものから通販のユーザ登録まで、
何10〜100個近くあるから覚えきれない。
メモはしてるが、
途中で変更してたらさらにわからなくなる場合がある。
端末IDと顔認証を組み合わせて本人確認を行い、パスワードの入力を不要にすべきだろう。
パスワードなんて、クレカなど重要なものから通販のユーザ登録まで、
何10〜100個近くあるから覚えきれない。
メモはしてるが、
途中で変更してたらさらにわからなくなる場合がある。
端末IDと顔認証を組み合わせて本人確認を行い、パスワードの入力を不要にすべきだろう。
11: 名刺は切らしておりまして 2018/08/21(火) 13:42:20.27
定期的な更新強制で、少数のローテーションになりがち
メモ書きをディスプレイ横に貼る物理セキュリティーホールやりがち
メモ書きをディスプレイ横に貼る物理セキュリティーホールやりがち
12: 名刺は切らしておりまして 2018/08/21(火) 13:45:54.80
サイト毎に異なるパスワードの設定は絶対だな。
17: 名刺は切らしておりまして 2018/08/21(火) 13:49:44.98
銀行関係はワンタイムパスワードでよくなった
ワンタイムパスワードでも危険という人がいるが、それはフィッシングサイト等別問題
ワンタイムパスワードでも危険という人がいるが、それはフィッシングサイト等別問題
18: 名刺は切らしておりまして 2018/08/21(火) 13:50:23.66
Niftyのアカウント初期パスワードのままで20年以上経ったわ
22: 名刺は切らしておりまして 2018/08/21(火) 14:08:10.28
ランダム生成のパスワードが一番強力で、Appleとかが進めてる生体認証でパスワード呼び出すやつが手っ取り早い。
23: 名刺は切らしておりまして 2018/08/21(火) 14:09:58.67
三ヶ月ごとにパスワード変更を求めてくる会社
三ヶ月ごとに爺共のパスワード変更をお手伝いする私
三ヶ月ごとに爺共のパスワード変更をお手伝いする私
70: 名刺は切らしておりまして 2018/08/22(水) 04:01:08.99
>>23
三か月ごとの強制パスワード変更があったけど、
前のパスワードと同じかどうかをサーバ側じゃなくローカル側でチェックしてたために、
ローカル側のチェックを外して同じパスワード使ってた
三か月ごとの強制パスワード変更があったけど、
前のパスワードと同じかどうかをサーバ側じゃなくローカル側でチェックしてたために、
ローカル側のチェックを外して同じパスワード使ってた
24: 名刺は切らしておりまして 2018/08/21(火) 14:13:12.36
会社内PCサポート業務してるけど付箋にIDとPass書いて液晶画面枠に貼っている人の多いこと多いこと。
定期的に強制変更させてもコレでは逆に危険だよ。
定期的に強制変更させてもコレでは逆に危険だよ。
25: 名刺は切らしておりまして 2018/08/21(火) 14:27:55.32
セキュリティ管理者が知ったかぶりでパスワード変更させるからさぁ!!
ド素人が!!
ド素人が!!
28: 名刺は切らしておりまして 2018/08/21(火) 14:34:28.52
それより二段階認証。楽天とかいつになったら…
30: 名刺は切らしておりまして 2018/08/21(火) 14:54:22.16
定期変更しなかった顧客に非があると言いたいだけよね
32: 名刺は切らしておりまして 2018/08/21(火) 15:10:15.91
定期変更がリスキーっていうのは、低能力なユーザーが定期変更に対応出来ないから。って事だから人起因の話である事もちゃんと言わないと
セキュリティ側で言えば、侵入を検知する何かを入れてないなら定期変更は有効。
人の対応力とセキュリティという違う軸で話してるから宗教戦争になるって気付け馬鹿
セキュリティ側で言えば、侵入を検知する何かを入れてないなら定期変更は有効。
人の対応力とセキュリティという違う軸で話してるから宗教戦争になるって気付け馬鹿
34: 名刺は切らしておりまして 2018/08/21(火) 15:15:31.60
>>32
セキュリティも含めて意味ないんだよ
ユーザー側の端末の話だとしたら、侵入を検知する何かが入ってなければパスワード変えても盗み取られるだけ
サーバー側だとしたら、そもそも入れてないのなら何されてもわからんわ
セキュリティも含めて意味ないんだよ
ユーザー側の端末の話だとしたら、侵入を検知する何かが入ってなければパスワード変えても盗み取られるだけ
サーバー側だとしたら、そもそも入れてないのなら何されてもわからんわ
33: 名刺は切らしておりまして 2018/08/21(火) 15:13:51.55
パスワード変更したら忘れるんだよ
特にたまにしか使わないやつ
だからやらん
特にたまにしか使わないやつ
だからやらん
35: 名刺は切らしておりまして 2018/08/21(火) 15:16:49.17
身近な人に盗み見られる対策には有効な気もするけどそれはあんまりリスクないのか
37: 名刺は切らしておりまして 2018/08/21(火) 15:33:44.81
「十分長くて使いまわししてないなら」
定期変更は不要
なんだけどな
定期変更は不要
なんだけどな
38: 名刺は切らしておりまして 2018/08/21(火) 15:37:50.84
単要素認証は危険
が抜けてるんだよね
が抜けてるんだよね
39: 名刺は切らしておりまして 2018/08/21(火) 15:39:35.45
変えろって要求されたら変えてすぐもとに戻すけど
Appleとかそれは前の前に使われていたので不可ですとか言う
めんどくさい
Appleとかそれは前の前に使われていたので不可ですとか言う
めんどくさい
44: 名刺は切らしておりまして 2018/08/21(火) 15:55:34.32
AmazonもYahooショッピングも対応しているのに、
楽天は何時になったら二段階認証対応するの?顧客の安全に配慮するの?コッソリ赤黒処理の楽天さん。
楽天は何時になったら二段階認証対応するの?顧客の安全に配慮するの?コッソリ赤黒処理の楽天さん。
46: 名刺は切らしておりまして 2018/08/21(火) 18:22:11.29
定期変更がどうこうよりも、使える文字とか文字数を統一してくれや
32桁。大小英数、記号くらいは使えるようにしてくれた方がいい
32桁。大小英数、記号くらいは使えるようにしてくれた方がいい
47: 名刺は切らしておりまして 2018/08/21(火) 18:27:58.70
>>46
サーバに設定するやつの気分次第だから無理よ
サーバに設定するやつの気分次第だから無理よ
48: 名刺は切らしておりまして 2018/08/21(火) 18:44:10.79
再設定するときのリスクもあるね。
再設定を呼びかける偽のメールに釣られて擬似サイトに誘導されてしまう
ユーザーもいてかえってセキュリティホールになるとかね。
再設定を呼びかける偽のメールに釣られて擬似サイトに誘導されてしまう
ユーザーもいてかえってセキュリティホールになるとかね。
49: 名刺は切らしておりまして 2018/08/21(火) 19:03:36.20
日本では平仮名パスが強いという話はどうなったんだ
50: 名刺は切らしておりまして 2018/08/21(火) 19:13:27.09
>>49
ローマ字で文章入れときゃ結構強くね?
文節とかに大文字入れて、iを1、Oを0にするとかでさ
ローマ字で文章入れときゃ結構強くね?
文節とかに大文字入れて、iを1、Oを0にするとかでさ
52: 名刺は切らしておりまして 2018/08/21(火) 21:25:11.44
ログイン履歴がないのが1番問題だろ
55: 名刺は切らしておりまして 2018/08/21(火) 21:37:14.83
流出事故が起きたら変更するぐらいでいいよ
56: 名刺は切らしておりまして 2018/08/21(火) 22:13:38.72
急に桁数を増やせと言われて困ってる俺
58: 名刺は切らしておりまして 2018/08/21(火) 22:22:23.16
キーロガー仕込まれたら変更する方が危険だろう
62: 名刺は切らしておりまして 2018/08/22(水) 01:49:28.67
パスワード変更の情報がインターネット網を通ることのほうが問題
やるなら変更したパスワードの通知を郵便物もしくはFAXで送らないと
やるなら変更したパスワードの通知を郵便物もしくはFAXで送らないと
64: 名刺は切らしておりまして 2018/08/22(水) 02:31:58.15
すげーしょぼいショップ会員サイト程度が
英字大文字小文字数字記号必須、さらに同じ文字は連続したらだめとか縛り付けると
お前ごときがそんなに渋いパスワード必要ないだろと
英字大文字小文字数字記号必須、さらに同じ文字は連続したらだめとか縛り付けると
お前ごときがそんなに渋いパスワード必要ないだろと
71: 名刺は切らしておりまして 2018/08/22(水) 05:14:04.94
>>64
素晴らしい
素晴らしい
65: 名刺は切らしておりまして 2018/08/22(水) 02:41:22.76
特殊ルール押し付けるところ、ウザイよね
66: 名刺は切らしておりまして 2018/08/22(水) 02:54:52.50
>>65
逆向きの特殊ルール押し付けるところもあるけどね
大文字小文字区別なし・・・(某自治体の市民カードのログインパスワード
数字だけ・・・(確定拠出年金のログインパスワード
後者とか、唖然としてる
逆向きの特殊ルール押し付けるところもあるけどね
大文字小文字区別なし・・・(某自治体の市民カードのログインパスワード
数字だけ・・・(確定拠出年金のログインパスワード
後者とか、唖然としてる
68: 名刺は切らしておりまして 2018/08/22(水) 03:49:09.49
重要なのは、使ってるすべてのサービスで別パスワードを使うことだよ
パスワードを変更するのより、こっちが重要
パスワードを変更するのより、こっちが重要