FNNニュース 2018年5月4日 金曜 午前0:54
180度方針を転換。
メールやネットバンキングなど、インターネット上で、日常的に使用するパスワード。
これまで国などは、定期的な変更を呼びかけてきたが、その常識が変わってきている。
総務省は、パスワードが破られ、アカウントが乗っ取られるなどの事実がなければ、定期的な変更は不要として、方針を変更した。
IT大手のヤフーも、これまでウェブサイト上で、パスワードの定期的な変更を呼びかけていたが、近く、その注意喚起を削除するという。
他人と類似してしまう可能性があるため、総務省が使用しないように注意を促している危険なパスワード。
自分の名前や生年月日、「password」や「baseball」といった一般的な英単語、同じ文字の繰り返しなどが挙げられている。
定期的な変更は不要という、パスワードの新常識に専門家は。
ITジャーナリスト・三上 洋氏は、「定期変更というのは、それを強いることで、単純化したり、パターン化したりする悪影響が出ます。ですので、パスワードの定期変更はしない方がいい」と語った。
肯定の声がある中、一方で、懐疑的な見方をする専門家も。
慶応義塾大学・武田圭史教授は、
「弱いパスワードをつける人は、定期的に変更しないからといって、強いものをつけるかというと、そこもちょっと疑問があるので、できれば強いパスワードで、必要に応じて時々変えてあげる、
そういった考え方が、より適切かと思います」と語った。
総務省は、定期変更よりも、複数のサービスで同じパスワードを使い回さない、そして、使用するパスワードが十分に長くて、複雑なものであることなどが重要だとしている。
https://www.fnn.jp/posts/00391202CX 俺20年前から一回もパスワード変えたことが無い
会社のPCは変えないと使えなくなる仕組みだから
末尾を201706とかに変えてたけどね
>>1
んなことより、パスワードの平文保存を禁止する法律を作れよ うちの会社は3ヶ月おきに変えるように、これからなる
ズレまくり
ITセキュリティ界隈では、以前から定期的なパスワード変更は意味がない、って言われてたよな
パスワード変えろ
a
パスワードは8文字以上で
aaaaaaaa
パスワードにが大文字を含めて下さい
AAAAaaaa
パスワードに数字を含めて下さい
AAaa1111
パスワードに記号を含めて下さい
AAaa11!!
パスワードに同じ文字が連続してはいけません
Aa1!sfgh
めんどくさいと結局こうなる
しょっちゅうパスワードの変更をさせるのではなく、
企業側にセキュリティを強化する等の努力が必要では?
うちの会社のも、月一変更だし、windows とファイルサーバーので2つパスワード要るし、操作なし10分ぐらいでロックかかるし、単純なパスワードを推薦してるようにしか思えん。
乱数発生器のやつ使ってるけど大丈夫なのか
バリエーション4つくらいしかないけど
会社のパスワードとか180日ごとに変更だが外部のネットワーク破られない限りそんなの無駄だわ
変えたパスワードが覚えきれないから、
ぜんぶ付箋に書いてディスプレイに貼り付けてる。
>>16
そういう馬鹿文系の発想がいかに日本がIT後進国かが分かるな。
昨日の新聞の自衛隊のサイバー攻撃への反撃能力〜の記事も馬鹿丸出しだった。 >>3
自分で変えてると宣言してるじゃん。
何言ってんの? 20年前から同じパスワード
理由
アマチュア無線のコールサインは
世界に1個しかないから
LINEなんてインスコしたまま放置だったのに、ログインされました通知が来たので
速攻、退会手続き取った。
二重ロック掛けろよ
意味の無い長い文字列を定期的に変えて覚えておける訳ないという当たり前の現実にようやく気付いたか
多くの人は意味を持たして末尾を変えたり付箋貼ったりなど逆効果しかない
ヤフーとか年に1回ぐらい台湾から不正アクセス食らってパスワード変えてるわ
>>25
横だけど、
「〜けどね」って言う日本語のニュアンスはネイティヴじゃないと分かりにくいかな? 前働いていた会社も1ヶ月更新だった上、間違えるとパソコンロックされて仕事ができなくなり、ロック解除のために始末書を書かされていた。
決して間違えないようにするため、パスワードの最後の数字だけ書き換えて流用していた(例えば"sage-2018_05")。まさに本末転倒だったよ。
ログイン記録を本人にメールするシステムが無いのが1番の脆弱性なんだよね
>>30
二ヶ月ごとにキーボードの列を変えて
パスワードにしてる人がいたなw
定期的な変更が頻繁なほど
変更の仕方やパスワードの保存はいい加減になるよね >>16
>企業側にセキュリティを強化する等の努力が必要では?
同僚が自分に成りすませて勝手に使うのを防ぐ、ということかな。
もしくは「そういうことはできません」とシステム管理者が外部に自慢したいから? >>35
始末書ってひでえw
情シやってるけど、毎日アカウントロック数人くるんだけど。
数千人いるからってのもあるけど、そんなんで始末書書かせたら非効率すぎるw 手動で単調なフレーズを使うから定期的な変更が望まれる
なら初めからランダム生成したのを使えばいい
メモ付箋などでソーシャルハッキングに対しては逆に脆弱になる
ウィルスに対してはパスワード変更は効果ない
OS、ブラウザ、特定機器の欠陥に対しては無意味
企業元からの流出に対してはその度に変えるしかない
外部からのアクセスならランダム文字列でありさえすれば強度は同じ
たしかに定期的なパスワード変更って無意味だよな
>>42
スマホ家に置いてきたりするとヤバい。
海外出張でそれをやっちまったらかなりめんどくさいことになりそう。 俺はアニメキャラをパスワードにしてるけど
絶対に破られない自信がある。
マニアックなキャラ名を更にモジッてる。
例えば、孫悟空だとすれば
s0N_5ku
更に四桁の適当な数字をプラス
s0N_5ku_1234
更にそのサイト(サービス)の文字を追加
例えばYahooなら yAをつけて
s0N_5ku_1234yA
このやり方で作ったパスワードを10年くらい使ってる。
勿論、二段階認証が使える所は使ってる。
USBメモリみたいので銀行のトークンみたいの
ないのかな
刺してログインすればおkみたいな
>>29
その前にお前さんのよわよわなパスワードをなんとかしなよ。 それよりも
必要な英数字の数、種類を統一せい
メモをPCに貼り付ける事態になってるんですが
pcに付箋どころか、デスクトップにパスワード.txtが有る始末
俺の事だけどな
一回googleアカウント乗っ取られかけたんだよな
二段階認証のおかげで無事だったが
二段階認証もっと普及させたほうがいい
探してもキングジムのミルパスしかない
めんどくさそうで買う気しない
>>39
例えば生体認証を取り入れて
予め全部の指を登録させ
定期的に認証の指を変えるとかなら
企業側の努力だろう
社員はパスワードを記憶する必要なく
指示されたとおりに指を使うだけでいい 8ケタの英数で2.8兆通り以上だからな。
認証に0.1秒ぐらい掛かるから複数ログイン不可なら完全解析に8800年以上掛かる。
大体3〜5回の入力で不正アクセスと判断されるから突破はまず無理だ。
>>55
信じるも何も
この前アメリカの大規模調査で判明しただろ
定期変更は使い回しや付箋紙の使用が増え
脆弱化につながる
君が全てのサイトのパスワードを別々に覚え
定期的に全て変更できているなら
続ければいい
でも殆どの人はそれができないんだよ
というか、 普通の人はパスワードのために生きている訳じゃないので
そんな事に労力と記憶を傾けない 芸巣pなんか開いただけで変な広告ページに勝手に飛ばされるし
広告内部の詐欺サイトへの誘導の方が問題だわ
>>59
お前もパスワードの管理ができないバカの仲間か セキュリティスカスカの競馬ブックwebでハックされた事がある
パスワードを変えて翌月に退会
面倒くさい事になったりするんだから後々の保険的に「変更必要」と言っとけよ
アップルだと、初回アクセスはスマホにSMSくるな
二回目以降はパスワードのみ
パスワードめんどくせえから生体認証でいいだろ
PCもスマホもタブレットもセンサーついてるのに
>>57
イチャモンみたいな反論だが完全ランダムな八桁のパスワードを忘れたら
二度とログインできなくなるんだなw
しかも二ヶ月毎に変更?無理だ
普通の人はパスワードを使い回すか、自分のパーソナルデータと紐づけてパスワードを生成する
だから個人情報の一部(生年月日など)がわかれば
理論値より遥かに簡単にパスワードに辿り着ける >>62
会社やネットサービス、銀行、証券、クレカとか
更にクラウド利用とかパスワードは求められるサービスがたくさんあるし
その条件も6〜8文字以上やら10文字以下だとか、複雑さの要件を求めたり、
でも他のところだと記号は不可とか様々
10個どころじゃないでしょ。全部正確に覚えてるの結構大変かと。 大文字小文字に英数字に記号も含めてとか
設定した瞬間忘れてしまうわw
乗っ取られる瞬間までそのパスワードは安全なの当たり前なんでは
>>62
逆だな
人間が管理困難なパスワードの管理を人間に押し付け
流出の責任も人間に押し付けていた矛盾が明らかになった
今までみたいに「管理しきれないお前が悪い」では済まなくなったんだよ
リスクマネジメントの世界では
現実に行えない防止策は防止策とは認められない
また「気をつける」「努力する」といった精神論も認められない
今までのパスワード管理は正に「不可能な対策の押しつけ」だった >>75
複雑化&頻繁な変更=覚えるのが面倒になり使い勝手重視=元に戻るor返って簡略化に走る
テキスト入力型の限界がきてる? https://password.kaspersky.com/
まあこういうところでパスワード強度チェックすると記号や大文字入れて8桁でも数分だからね。
無限試行できるようなのがまずダメで、
かといって5回とか少なすぎるのもすぐアウトになるから駄目って考察するわ。
それを10回にかえても無限に試行できるのはほど遠い。 記憶に頼るとかいうあやふやなセキュリティはさっさとやめろ
少なくとも
現存し、意味を持った英語の綴りや数字の羅列は使わない
現存し、意味を持った英語の綴りや数字の羅列の逆読みも使わない
この二つくらいは誰でも出来るだろうし最低限やるべきこと
生体系も体調によって結構変わるぞ。
静脈認証もアル中なのか酒飲んで帰ってくるやつがいてそういうので引っかかるw
指紋は汗っかきが・・とかいろいろ罠が。
もうパスワードよりも、二段階認証の質問とか答え考える方が大変になってきた
意見出そうにも逃げまくる糞Yahooが注意喚起ねぇw笑わすなw
パスワード忘れた云々用の質問とか最高に意味わからん
そっちの方がバレやすそうだし
これ以上無駄なパスワード増やすな
>>80
パスワード管理側の常識が古臭いのかもね
多くのサイトでパスワードを要求される現実を想定していないのも古臭いあと、パスワードに6-8桁の文字を要求するのは強度の問題以外に
人間がいっぺんに記憶できるのは7桁前後という
「マジカルナンバー」理論が元になっている
ところがこれは1950年台の理論で新しい研究では
マジカルナンバーは4桁前後に過ぎないことがわかっている
つまり現在は否定された古臭い理論を振りかざして
人間が覚えきれないパスワードを覚えろと要求してるのが現状 よくパスワード設定時に他のサイトとパスワードを使いまわしてないか?って注意喚起あるけど非現実的過ぎてツッコミいれたくなる
パスワードいるサイトなんて数十個もあるのに使いまわし無しなんて不可能だろ。
しょっちゅうパスワードを変更させられると覚えていられなくて結局どっかにメモしたりするハメになるからな
ネットバンキング系のパスワード変更して下さいとか問題が起きた時にパスワード変更しなかった貴方が悪いんですって免罪符にしようとしてるとしか思えない
自分のは長文暗号が多くて覚えきれないからパスソフト管理で良いんだけど・・
社用は、定期的に変更しろメッセがでるから。。。
面倒くっせええよ
そのうち、パスワード制度も意味なくなりそう。
総当たりで抽出できる機械が発明されたら一瞬だもんな。
パスワードの次は生体認証だな
自宅はいまだにWEPで割と単純なPWを使いWi-Fiしてるけど
不正アクセスの跡は一度も見たことない。
スマホでは指紋認証や顔認証が実用化しているのに、いつまでこんなことを続けるのか?
漏洩がバレてから変えろってかw
いや、漏洩しても乗っ取られるまで放置されるのか こないだ観たレディプレイヤーワンでも
付箋パスワード盛大に皮肉っててワロタ
オレの会社、数年前までBIOSパスワードを3ヵ月ごとに変えさせてた。
パスワード忘れてロックされたパソコンが続出して直ぐに止めたけど。
利用者が想像以上に馬鹿だったから、どんどんシンプルなパスワードになっていくとか、パスワード忘れるとかが現実なので、もう諦めろ、という意味でしょ。
アカ名も同じぐらい忘れるから同じにしたいのにできないサイトがあるのがウザい
勤務先は一年ごとの更新だが、それより頻繁に更新してる会社があるのね
けっこう怪しげなオンラインショップとかでも普段使ってるメールアドレスとパスワード使ったりしてる人いるけど、あれのがよっぽど危険だと思うわ
>>3
うるせえとこはちょっと変えたぐらいじゃ通らないんだよね。がらっと変えないとエラー出る。 >>109
それはおかしいよ、管理側がパスワード知ってるってことだから
普通はハッシュにして保存する >>43
パスワード管理ソフトで管理してるのに、コピペ許さないサービスあるからな。アホかと。単純なパスワードしか使えなくなる。 こんなの当たり前だろ笑
今までに騙されてコロコロ変更してた奴なんて一億人に一人もいねーよ!
家の玄関の鍵を毎月交換するようなもんだぞ
>>114
流出した責任を被害者に押し付けられるからな
管理側にとっては都合の良い責任回避 会社で半年ごとに変えろと強制されてうざい。
一文字変えただけとかひとつ前に使ってたパスワードは
受け付けないとかいうクソ仕様。
で、3つのパスワードをローテするだけになる作業感。
三カ月ごとに変更を強制され、しかも三回くらい前までのと同一・類似するパスワードを受け付けないシステム
めんどくさいことこの上ないし、ただの単語+アルファ程度のいい加減なパスワードになるのが避けようがない気が
しかも、これ内部でパスワードをそのまま覚えているよね?
堅牢なフリしたクソシステムなんじゃなかろうか・・・
>>119
俺、スパーハカーだけど、
銀行のセキュリティ、カスだぞ。
それこそ、窓口の担当者教育せな
もろ弱性(なぜか変換できない)ありまくりだ。 銀行はキャッシュカードの暗証番号が4桁固定、変更不可の時点でクソだよ。
>>123
>それこそ、窓口の担当者教育せな
>もろ弱性
情報って人から漏れるんだよな >>1
この記事書いた奴はもちろんツイッターパスワードそのままだよなw >>125
どことは言わんが、黄緑色がコーポレートカラーの銀行な。
オンラインバンキングの申し込み行ったら
IDの一部がまんま通帳の番号な
窓口に文句言ったら、
「全く問題あ〜りやせん」
だと。
都市銀大手ですらこんなレベル・・・
ハックしまくりだわ あのぉ〜、乗っ取られてからでは遅いンですけどー。
定期的にではなく不定期的でよろしンじゃないでしょうか?
>>118
会社だとひと月に1度変えないとネット使えなくなる
アホじゃないかと、毎回覚えられるかよ
いつも連打する数字の長さ変えているわw セキュリティ強化には
漢字ひらがなカタカナも使える様にすればいいだけなのに
低脳言語圏に合わせてアルファベット数字のみしか使えないシステムがおかしい
パスワードを頻繁に変えようが、破る側はそんな経過は関係なく、現在のパスワード1つに対して破るからね
変更する意味なんて全くない
無知が、無能な自称専門家の持論を信じた結果が、頻繁にパスワードを変更させてたんだよ
みんな笑ってたさ
yahooは「半年前にデータベースに侵入されてました。パスワード変えろ」っていってくるんじゃねえよ
だよな
あんだけ複雑なパスワードを定期的に変更しろとか
意味不明、どんだけパスワードあると思ってんだよ
マイナンバーも番号は簡単に変えてくれないもんね。
流石、総務省やわ
あと秘密の質問をやめて欲しい
SNSだかで情報を集められて、まじめに書いていたであろう秘密の質問を
まんまとクラックされたとか
なかには三つも秘密の質問を登録させるシステムもあるとか
乗っ取られている可能性を考えて常に変更すべきだろう
一体何を考えてこんなステマ始めたんだ?
この国の政府はおかしい
>>123
一応ワンタイムパスワード強制だから・・・ >>139
利用者が手間だからと安直なパスワードを使いかねないから
変更を強制した方が、かえって乗っ取られやすいだろって話 オキニの洋モノポルノ女優名をパスワードにしてるわ
日本人にはまず破られる心配はない
サイトにちなんだ文章をローマ字にしたパスワードにしてるな
たとえばJRだと「tokkyuuninorutokinitukau4(とっきゅうにのるときつかうよん)」とか
もう出てる?
パスワード変更するじゃん
打ち込んだ字が●●●●●●●●●●●●●●●と表示
これでいいですか?
ばかじゃねーーーーー!見えねーよ!
>>111
それは現在のパスワードも同時に入力させることで解決する(´・ω・`) 自分のアカウントに何回、違ったパスワードでアタックされてるか
モニターできるように出来んのかね?
>>111
大抵
現在のパスワード:
新しいパスワード:
新しいパスワード:
って聞かれるだろ まあある程度長いパスワードで全て同じパス使い回さなければ変更する必要もないだろうな
ぶっちゃけパスワード要求多すぎていちいち変更していられない
ダンプスター・ダイビング(Dumpster diving)
ケビンミトニックの時代からある有名なハッキング手法
パスワード書いた付箋までシュレッダーにかけんわね
一つのパスワード作って
その中の特定の場所を一文字だけサービス、サイト名の先頭を挿入
て手法にしてる
例えば5chなら
ABC5def
ヤフーなら
ABCYdef
定期的に変えろ系はプレフィクス
前回と似てるからやり直せ系は
アホボケカスのメール送って退会
>>137
映画「グランド・イリュージョン」で雑談にかこつけて母親の名前とか
昔飼ってた犬の名前とか聞き出してハッキングする手口あったな。
結局は人間から漏れる。よほど単純なものじゃない限り変更前の
パスワードだと危険で変更後のパスワードは安全、なんて保証はない。 >>131
以前3ヶ月しかいなかった会社がそんな感じだった。
毎月1日にPCのアカウントパスが変更される。
セキュ意識高過ぎw だけど困ったことにその月のパスが朝礼で発表されるwww
盗聴器とかコンクリートマイクで突破できる謎仕様w
>>133
パスワード入力欄って何で1列なんだろ?総当たりで破れるから。
3列パスってのはないのかな?例えば
password 1 [baseball]
password 2 [giants]
password 3 [xxxx(任意の数字)]
とか、ユーザーには覚え易く、クラッカーには破り難いパスって出来そうな気がする。 >>131
会社の無理やり変更が愚の骨頂なんよ
何でかっていうとアカウントハッキングの大半は社内漏れなんよ
同僚やら上司がパソコンに張り付けてあるパスワードを勝手に使ってログインとかね
で次に多いのが友達にスマホ貸して勝手にログインして買い物されたりパスワード見られて(むしろ教えたりして)あとから不正アクセスされる
結局のところ不正アクセスの大半は身内で
いくらパスワードを変更しようが周りの人間にいくらでも新しいパスワード周知してしまうのだからなんの意味も無いわけやね 定期的交換したところでパスワード漏れる奴は漏れるし
漏れない奴はもれないと
ランダムで長いパスならそうそう破られない
パーソナルと関連づけできないからな
定期的に変更した所でパスが短くなるか単純になるだけと
むしろ同じパス使い回さない事のほうがリスク管理としては上って事だな
>>160
外に持ち出さないなら大丈夫だろう
外に持ち出すならまずいけど パスワードは三ヶ月ごとに変更させるけど、管理者アカウントを作業に使い回し
セキュリティw
国際法とか全世界共通でパスワード破ったやつは死刑とかにした方が今後の世界が平和になると思うんだが。
昨日Digisparkでボタンを押すとパスワードが自動入力されるドングル作ったところだw
会社のサイトは3か月ごとにパスワード変更だな
あと、証明書がないと見れない
>>160
アリだと思うよ。その手帳を肌身離さず持ち歩けば。
鍵付きの手帳なら、手帳を置き忘れても見られることはないし。
先日他県に住んでる嫁の弟(独身)が突然他界したんだけど、
スマフォもPCもログインパス掛かってて、
彼の働いてる会社や、友人関係に連絡が取れずとても困った。
手帳やメモ類全部見たけど、それらしいものは無かったし。
なんとか保険証から会社名で検索して会社には連絡取れたけど。 ワイ20年以上パスワードは全部123456やげど困ったことないで
いつも思うんだけどね
確認くんの表示に出る、ゲートウェイの名前をセキュリティに利用することはできない?
こっちが指定した範囲外の名前での接続なら
パスワードが合おうがログインできないようにできる
これは素人の浅はかな考え?
>>121
一文字変えただけが駄目って、パスワードをそのまま覚えていないと無理だと思う。
セキュリティがザルなシステムだね。 以前から指摘されてただろ
頻繁にパスワードを変更させると面倒臭がって単純な文字列に設定するから逆効果だって
AI「アカウントを把握しても直ちに乗っ取るとは限らない
前の会社が期ごとの変更強制だったから、みんな
〇〇〇〇18k とか付けてた。
ホント意味ない。
「乗っ取られるなどの事実がなければ、定期的な変更は不要」って、
乗っ取られて被害が出てからでは遅いからパスワードの変更をしなければならないんじゃないのか?
乗っ取られてから変えても遅いだろ
これで乗っ取られたら、総務省やヤフーを訴える韓国人いるよね。
乗っ取り気づかなきゃ、パスワードなんか変えないしな
>>159
頻繁に変えるより複数パスワードのほうが有効だろうね
ネットワーク構成で壁を作ることに似ている
しかしながら複数パスワードの煩わしさを嫌がる人のほうが多いから普及はしないだろうね
安全性よりも楽を選ぶ人間の性質が世の中を支配している >>162
あ、パスは一つずつ認証するの。とりあえずツールを使ったお手軽クラックには
対応できると思う。プログラミングスキル無くてツールだけ使ってる輩もいるし。
まぁそのうちツールの方も対応するかもしれんが、
とりあえず目的は「ユーザーには覚え易く、クラッカーには破り難いパス」なので。 そんなことより、ATMの暗証番号が未だに数字4桁だぞ
>>180
?
段階認証なら画面切り替えたらいいじゃん
オンラインバンキング的な >>179
まぁそうだね。面倒かもね。
でもネットバンキングや仮想通貨などの資産被害に直結するようなものは
このくらいやっても良いかなと思う。 問題の在り処を分析せず、結果だけで判断してしまった悪例
自己顕示が強いセキュリティ家はTwitterとか控えろよw
まぁスマフォに一番最初に入れるソフトが日本じゃLINEっていう時点で
どうしようもないけど。
>>56
定期的に指を変えるとか、強制的に指詰めってことか?こぇーーーーーー >>184
金銭に関わるものは、二段階認証必須で良いと思う。
それすら設定できないアホは使わせないほうがマシ。 同じサイトで異なるパスワードを2つも3つも用意させる奴もあんまり意味が無いと思うんだよな
ブルートフォース対策なら桁多い奴一つで事足りるし、キーロガーとかで抜かれてるなら丸ごと抜かれてるだろうし
>>1
当たり前だろ やっとパスワード解析して潜り込んで、下らんファイルしかなかった時の喪失感・・・
チャカチャカ変える奴の大半がこれだ 少しはエシュロン側の苦労もわかれよ
と、某国機関からの苦情を代弁 >>176
定期的に変えるほうがいいが普通変えないしな シフテムで強制的にかえるようにするとドンドン単純なパスワードになる パスワード「TOKIO」にしてたけど、山口メンバーの不祥事の後に別のに変えた。
毎度毎度前のよりも強いパスワードにできるやつなんて少数派だろ。
定期的に変えろと言われてたのに。。。
常識とやらは次の瞬間、嘘になるなぁ。
ヤフーと楽天はシナチクから不正ログインアラートがよく来るのな
1ヶ月に1回パスワード変更させるやつは糞
しかも英数混ぜろだの何だのって
乗っ取られたら自己責任でいーじゃん
パスなんか変えたことがない。ソフトで自動生成でもさせなきゃ、どうせ簡単な法則を使うだけ。
パスワードソフトの安全性まで疑えばどうにもならない。
全部手書きメモとかナンセンスだし。
理論的にはパスワードは定期的に変えた方が良いのは間違いないんだよな。
単純にリスクは減るから。
ただ、それを運用するのが人間である以上ヒューマンエラー的な部分のリスクの方が大きくなるという。
どうしても8文字前後になるしな
20文字ぐらいのを1個きめとけばほぼやぶられない
定期変更しろって言ってくるところに限って、半角英数字8文字以下とかいう制限があるんだよなー
100文字ぐらい許容して記号も使えるようにしとけと。そしたら60文字ぐらいで英数字+記号混じりのパスワード登録しとくから。
せめてパスワードポリシー世界共通にしてほしい
8文字しか使えないサイトとか記号使えないサイトとか不便
>>153
最近はそういうのもあるが全部じゃない
仕事場のは目は出ない >>53
いっそ義務化してほしい
DMMで乗っ取り被害にあったけど二段階認証があれば防げたはず >>208
もう二段階認証ぐらい設定しないと使えないようにするぐらいでいいよな。 パスワードはユニコードで入力出来るように義務化せよ
コロンビア経由で良くラインにログインしようとしてくるな
ネトゲとかと同じ組み合わせにしたらすぐ漏れる
知ってたわ。最初から英数字込み8桁以上にしとけば破られんわ。変更するのは流出騒ぎが起こったときだけ。
>>64
レッテル貼り乙。ID変えてごくろーさん。
行間読もうがなんだろうが、「会社では変えてたけどね」って変えてるだろ。
どうせプライベートでは変えてないとか、先頭の単語は変えずに末尾のみ変えてるとか言うんだろうけど、1度も変えてないとか嘘じゃねーか。
しかも例が201706とか去年の日付。
もし20年前まで勤めていてそのとき末尾付けてたと言うなら例示は199805にでもしとけ。ついでに当時は西暦2桁主流だ。 2k思い出した
あれフロッピーで配ったんだっけ?
サポートに電話したの覚えてる
2回来たよな
破ろうとしたら(されたら)今時、本気ならソッコー破られる。
逆に言えば変えることに全く有効性はない。
>>48
うちの会社
USBダメっす
そもそもネットは仮想環境でしか見られない 何でもそうだがトレンドで繰り返すからなぁ
半年経ったら やっぱ変えろ と成りかねん
>>38
もしそのバグが「定期的」に発生するなら定期変更は必要だな >>188
同感だ。
二段階認証の使い方が分からない奴には無理。
操作させないのが本人の為だ。
>>215
だいたい、セキュリティの穴は人間の方が大きい。
フィッシングとかで簡単に自分からパスワードをバラすし、
変な実行ファイルを無闇に開くし。
パスワード以前にリテラシーが無い人間にセキュリティなんて無理。 >>48
単なるデータだとコピペされるから
公開鍵暗号を利用してUSBキーには平文渡したら暗号文を返す機能をつけて
公開鍵サーバーからUSBキーのシリアルに対応する公開鍵をダウンロードして
復号できたら解除とかかな >>198
もともと「定期」ってのが
もろ弱性だった。
色んな意味で。 社員証に非接触型のIC乗ってるんだから、それでログインさせろと。
ドアの開閉だけに使ってんじゃねぇよ
ずっと同じパスワード使っててクラックされたのなんてapple id くらいしかないわ
銀行とか、はよう変えろってログインした途端に大々的に出るよな
長くして覚えられないのにさらに変えさせられて面倒だ
8桁のパスワードを三つ順番に使っていたが、最近はまとめて24桁にしている。
>>71
スマホの指紋認証は精度悪いぞ
pcのはいいんだがなぁ >>224
社員全員にリーダー配る予算の妥当性を説明出来るやつが社内に居ない >>226
俺は17年前から、パスワード長が長いとセキュリティレベル下がると言い続けてた
理解できん奴が多かったが。 >>227
24桁を入れられるシステムだけじゃない
最近のシステムは、内部的にはパスワード長無制限だが
インターフェース側で制限していることが多い >>229
簡単に憶えられて
忘れなくて
長いパスワードにも簡単に対応できて
大文字や記号も含んでて
便利な方法を知っているが
誰にも教えん
もったいないから パスワード変えろって強要されるのが一番やっかい
セキュリティで変更させられてパスワード忘れるリスクのほうがはるかに高い
最近パスワード変更しろって強要されるサイトが多くてほんとめんどい
学生時代に使ってたmixiのプロフィール削除したいんだけどパスワードもメールも忘れて困ってたのを思い出した
個人情報の塊だから何とかしたいんだがなあ
>>235
比較できないリスクをあたかも比較して
結論を出しちまうお前もやっかいだが。 >>236
お前が死ねば問題は無くなる。
死者に人格権は無いのだから、
個人情報保護法も適用されない。 >>237
個人の経験で十分比較できるが
今まで乗っ取られた経験なんてない
パスワード忘れはかなりある これ、今まで定期的に変えさせることで曖昧にさせていた
セキュリティをきちんとやれと言ってて、単に管理を
楽にして良いとは言ってない。
パスワードの強度をあげる
パスワードを破られたときの不正アクセス検知
不正ログインを試行されたときのアカウントロック
一つ目はともかくは後者は途中から始めるとなると運用大変
変更したところで、禿が流すからな
そりゃ意味が無いだろ
>パスワードが破られ、アカウントが乗っ取られるなどの事実がなければ
は?
そうならない為の事前の予防策なんだろが
バカなのか
大事なのは同じパスワードを使いまわさないことだろ
同じだと漏れたときのリスクが大きい
そもそもパスワードだけでなくアマゾンみたいに
使えるデバイスに制限をかけたほうが遥かにセキュリティは上がるのに
アマゾン以外ではどこもやってないのでは?
パスワードは機種依存文字以外の日本語が使えるようにしたらいいんじゃないか
単語を使うバカは増えちゃうだろうけど、
少なくとも国外からの被害は劇的に減るだろ
パスワードの変更を強いられているうちに、自分でも忘れてしまった
おかげさんで、ミクシィの利用は止めたしな
五つくらいのパスワードを作って、それを使いまわした事もあったが
そしたら今度は、古いパスワードの使用を拒否したりするし
さすがにいらっと来たな
>>239
パスワードを忘れるリスクはそこそこ認識できる実数で表現できるが、
クラックされた時のリスクはあまりにも小さい確率とあまりにも大きい確率を掛けたものだが、
後者のリスクは正しく出せるとでも思ってんの?
アホやね >>240
攻撃する側からすると、
アカウントのロックは大したこと無い
嫌なのは、パスワード試行失敗をユーザに通知すること
これ、やってないとこ多い >>242
サイト全体の視点から見てるんだろ。
1つのサービスでクラックが発生したなら、
変更を促す、と。
まあ、攻撃側からすると、
そんな警告すら無視するアカウントを狙うわけで
別段問題にはならんけど。 >>243
googleもhotmailもやってるよん
抜け道があるから問題ないけどw >>245
それ、やってくれ。おらワクワクしちゃう。
素人考えなんだろうけど、それって深刻な
もろ弱性を抱え込む。
機種依存文字って言っている段階でワクワクするよ。
だいたい、入力はShift_JISも受け付けるんかね?
すげーワクワクする。
また、UTF-8の場合、エンコードされた状態でパスワードチェックするのかね?
それともデコードした後?
どちらにしてもワクワクしちゃうぜ。
是非、進めてくれ。 会社のPCと取引先のワークスペースで、定期的に変えないと
ログイン不能になるから、みんな1ヶ月ごとに変えてて、
一年前のを12ヶ月後に使おうとするとエラーになるからホント困る。
毎月変えるけど、覚えていられる為に、みんな月の数字を入れた
パスワにしてるらしいが、アルファベット4文字以上入れないと
いけないから、4文字を同一にしてる人が多く、1年後に1年前と
同じパスワになるんだけど、前に使ったからダメになって、仕方なく
別候補のものにするんだけど、最近もっと厳しくなって、2年前のも
弾かれるようになった。いい加減にしてほしい。
社内で他人のPC乗っ取りなんて現実的に有り得ないんだから
無駄なことやめてほしい。
>>246
イラッとさせるシステムは、
自ずとセキュリティレベルを下げる
良いことじゃねぇかw 会社のサーバの定期パスワード変更もやめてくれ。無駄でしかない。
>>251
抵抗したほうが良いぜ。
奴らは、アカウントと電話番号を紐付けたいんだ。
アカウントは山ほど持っているやつが多いが
モバイルは1つか多くても3つ
世界的にもそう。 >>254
をいをい。
その「パスワード」で保護されてるのは、
君のPCだけじゃないぜ。 >>248
攻撃側からするとそうだね。
守る側からするとアカウントロックって厄介だよ。
社内だと他人のアカウント知ってるからわざとロックもできるし。
でもよほど悪質じゃない限りアカウントうち間違えたとかいいきられたら解らない。
やっぱり試行回数のカウントや最終ログイン時間を
ユーザに見せるのがいいんだろうなぁ。
システム改修が微妙にめんどくさそう。
俺はそれを指示する方だけど。 >>253
デコードせずに送信すること自体出来ないんじゃね?
特に2byte codeだからって脆弱性があるとは思えんが
問題点があるならハッキリ言ってくれ >>260
そ
利用者側(管理者含む)が嫌なことを減らすんじゃなくて、
攻撃側が嫌なことを増やす
のが真っ当な対策なんだが、
どうも平凡な人たちは攻撃側の視点が欠落する。 >>261
具体的な例かい?
例えば
UTF-8デコード後のデータをシステムに引き渡す。
システム側がLATIN1だと勘違いして処理をすると、
普通にエスケープ文字が入る。
SQLインジェクションも余裕で可能になる
とかね。
まだまだ色んなバリエーションがありそうだから
どうにでも出来ると言い切って良い。 >>137
アップルがパスワードリマインダー3つ登録させる奴だな
どうせ使わないだろうと思ってデタラメ書いてたら、
新しい機種で最初に有料アプリ購入するときに入力させられて詰んだ >>263
システム側をLATIN1だと勘違いしないように実装すればいいだけでは? >>264
性癖がバレルって問題点もあるなw
ちな、
臭いに敏感な人は
SM志向が強い パス変更なんて意味ねーよ。管理側がデータごと流出させるんだからw
下手に変えるといろんなバリエーションがある事を教えてしまう事になる
>>265
それが無理なんだよ。
洋物のアプリやライブラリは
「パスワード?LATIN1でよいんでないの?」
ベースに開発してる。
別にどこのなにとはいわんけど、
とあるデータベースなんかは、
有る条件でINSERT すると、
全角文字の円マーク¥が半角になるんだぜ。
有名なDBだども。 >>268
その程度のことが無理ならプログラマーなんて務まらんわ >>269
だから、お前は馬鹿って呼ばれてるんだよ。
いまだにShift_JISのもろ弱性が見つかってるよね?
有名なライブラリやソフトで。
それともなにかい?
バグが1つもないプログラムは作れる、とな?
そういう人大事だよね。攻撃側としてはwww 会社のPC、月一で変更しなければならないけど、
面倒なのでonani888とか入れてたら、ある日起動しなくなって、情シスで見てもらう時にパスワード聞かれて、かなり恥ずかしかった。
PCパスワードもカードの暗証番号も
桁数違えど全部ほぼ同じだわ
そうでもしないと覚えられない
就活系某社だが、社内で使うブラウザ系ツールが10種類近くあって
それぞれパスワードの付け方のルールが違う
なおかつ、定期変更を求めてくるという糞仕様
メモ帳に全部パスワード書いておいて、それをコピペして使ってるわ
さらに、ブラウザもパスワードを記憶しないように設定されていたのだが
設定変えたら記憶できるようになった
ユーザーはその程度のことができないとシスアドは舐めていた模様
>>271
パスワードクラックで性癖が分かる良い例だなw >>270
バグを恐れていつまでも間抜けシステムを使い続ける方が馬鹿
バグは潰していけばいいだけ
その程度のバグは直ぐに潰せる >>273
SSO導入すると良いよ。
んで攻撃側としては、
1個パスワードをクラックすると全部アクセス出来るw だからパスワード生成ツールを使うのがいいですよ
俺がフリーで作ったのがあるからそれ使え
>>1
定期的に変えることに何の不都合もない。パスワード忘れたとか運営側が対応が
面倒だからそういう方針にしただけだろww >>275
それ系のバグって再現性が極めて無いものも
あるんだが、どうやってBug fix するのかねぇwww
有名だが、16/6万の確率で発生するバグとかね。
世界的に見てもいまだ無くならないのはどういうことか理解できないんだw
ま、君の能力ってのはその程度ってことやね。 >>278
セキュリティにおいて
コストは重要な考慮点に当たる。
「面倒」は人件費が掛かるということ。 なんか裏ありそうで怖い怖い。
普段PW変更なんてしないけど定期的にする様にしよっと
意味が分からん
被害にあってからじゃ遅いんじゃないの?
とパスワードを変えてない俺が行ってみる
>>281
そだね
そう思っている人がある程度居ないと
こっちが困る。 数年変えなかったfacebookのパスワードで久しぶりにログオンしたら
鹿児島と静岡で見知らぬ人がログインしていたみたい
全く身に覚えが無いのですぐさま変えたよ
『不要』だったら、
別にいちいち言わなくてええやん
なんか ぁゃしぃ
それなりに複雑なパスワードにしておけばそれなりに安全だろう
ただ、被害にあってるのに気が付いてないという場合は不味いよな
>>263
・・・?なぜUTF-8をLATIN1で処理すること前提なのかが解らん
っていうか外部から来た文字列はあらゆるSQL通す前にサニタイズするでしょ
別に日本語パスワードの脆弱性の話ではないようだけど >>287
十分に怪しいよw
国視点で考えると、一般ユーザのアカウントがクラックされても
大きな問題じゃない。重要アカウントが保護されていれば十分。
反面、企業にはコストを強いる戦略は
国家BS的に問題。
また、セキュリティ被害が出れば
セキュリティ業界が稼げる。
つまり、国としては国家戦略上重要な情報を参照できる
重要アカウント以外は、さほど守る必要が無い。 >>290
ほんと、馬鹿だな
サニタイズした後のデータはどのメソッドが受けるの?
そのメソッドは入力された文字列のキャラクターセットをチェックしてる?
そのメソッドはエンコードをチェックしてる?
デコードは何時行われる?
チェックする前?
チェックする後?
エンコードもUTF-8とBase64も考慮に入れないと行けないよ。
Base64のデコードは何時行われる?
メソッドが受けた直後?
デコードした後?
他にその文字列を受け付けるメソッドは無いの?
それぞれにおいて、上記考慮点がチェックされてる?
DBによっては、全角の円マークが半角になって
格納されるって書いたよね?
その影響をきちんとチェックしてる?
どこにどんな影響がでるの?
そもそも、Base64エンコードされたUTF-8文字列は
サニタイジングでも問題なく通過しちゃうよ。
それ、分かってんの? 会社の1人は必ずいるパスワードってabc123系だよね^^ バレてるよ
パスワード管理アプリ使ってるとパスワードを入力する行為に意味がなくなってるからな
ペーストできないスクエニのサイトとかホントクソ過ぎる
さっさとweb全体で新型認証に移行してくれ
>>293
まあ、管理者がユーザのパスワードクラックするのは常識だな。
ただ、倫理的には辞書攻撃に留めるべき。
そういう意味でL0phtCrackは、パスワードクラックツールじゃなくて
パスワード監査ツールだよなw 会社のパソコン立上げPWは3か月に1度更新しないといけない。
いま○○○○○○12まできた。他にもいっぱいPWがある。
当然パソコンの蓋にすべてのパスワードが貼ってある。
>>298
蓋?
デスクトップPCで良く無くなるあれか?
うちのPCはほとんど無いぞ。 だいぶ前に数年使ってなかったGoogleのメールに久しぶりにログインしたら
英語圏の人のメールのやり取りがたくさんあって勝手に使われてたことある
パスワード複雑にしてたつもりなのに
PWだけじゃなくてログインネームも自由に変更させてほしいわ。
一度知られたら嫌がらせで不正ログイン何度も試みられてロックされて
使えなくなるなんてこともありえるし。ログインネーム変更できるところでは
時々変更してる。
>>300
一応Googleに言っといた方がいいよ。
なんかの事件に巻き込まれる可能性もあるから。
通報は潔癖である一つの証拠にはなるからな。 単純なパスワードの人は変えるべきだろうけど、
定期的な変更、不定期変更なんかは要らないに決まってるだろ
>>217
それはない、昔から変えるなと言ってる人もいる 今まで煩くパスワード変更を促していた銀行のネットバンキング、最近は変更しろと言わなくなった。
そんなに頻繁に変える必要なんて無いと思っていた。
6桁のトークン生成機併用だから危険は少ないのだろうし。
>>243
ブラウザが違ったりIPアドレス変わると登録してある電話番号やリカバリ用のメアドにセキュリティアラーとが来るよ パスワード解析ソフト使えば分かるけど
数字記号英字の組合せであるかぎりは
組合せを試行し続ければ
突破可能
パスワード入力を連続何回か間違えたらロックしてもうできないようにしたら
嫌がらせでワザと間違い入力して本当のユーザーが使えないようにするからなぁ…
ネットバンキングみたいにワンタイムパスワードにするんじゃいけないのか?
いくら複雑なパスワードでも複数のアカウントで使い回していたらアカンのでは。
具体的に言うとTwitterで使ってたパスワードを他のアカウントで使い回してたら、即変更しないと。
変更するの面倒だし、パスワードを考えるのも嫌だからそのままだけど
ネット通販初期の頃の数字4ケタとか含めて全然何事もない。
仕事のパスワード毎月変更させられるから
20180401
みたいなの使ってるわ
アカウントを盗んだら大金になるようなものは気を付けた方がいいだろう
たとえば、大手サービスの非常に短いアカウント名とか狙われる。ninjaとかtanakaとか。
あとはネットゲームもアイテムとか金になるらしいから、まずログインIDすら他人に知らせない方がいい。
yahooは簡単なパスなら中国から不正ログインされまくる
定期的に変えるより12桁とか16桁の複雑なパスワードしとく方が有効。
ほとんどはパスを解析されるのではなくて、企業内部から漏れるのだろ?
だったら定期的に変えるしか対処法はないと思うけどな。
>>1
中指芸人のキチガイ在日朝鮮人白丁パヨクの糞グックBBAはどーなったニカ? ギャハハハハハハハハハハハハ
>>11
そして自分の名前だったり
キーの2段目を左から順番にとか
そういう単純なパスワードばっかりになるんですねわかります
うちの会社もそうだわ >>182
これな、海外からのハッキングは大抵のは防げる
さすがに英語圏は、sjisコードは組み合わせないだろ CIAやNSAからの要請だろうな。彼らはパスワードを破るための専用のハードウェア
を持っているし、MSやAppleなど様々な企業からの協力を得て、狙ったユーザーや
組織のパスワードを収集して管理しており、一端なにか必要があれば、それらの
アカウントに侵入して情報を抜いたり、あるいは偽装して偽メールを送るなどの
諜報謀略工作に役立てる用意がある。しかしそれをユーザーが例えば毎月とか
毎週、パスワードを変更していたら、そういった情報収集が間に合わないで
工作しにくくなってしまう。今の毎月OSのアップデートをリリースするという
名目で、ユーザーのHDDやSSDをスキャンして必要な情報を集めている努力が
無駄になってしまう。まさか毎週や毎日にするわけにはいくまい。
だから、なるべくならパスワードは変更して欲しくないというのは当然だろう。
OSやBIOSにはユーザーが叩いている文字列を抜き取るための裏口を儲けて、
狙いを定めたマシンからパスワードなどを抜き取れるようになっていると
思うべき。最近のインテルのCPUのバグと称するものも、10年以上前から
実は一部では知られていたが、それを秘匿して使っていたのだと思うよ。
会社のパスワードは3ヶ月ごとに十種類くらい変更してるんだけどまさにキチガイだな
そんなこと言ってたら最近ツイッターでなんかなかった?
その前はFBで偉い人謝ってたよね。
今時大事なところはワンタイムとかで二重パスワードにするしな
一段階目が抜かれたらパス変更で問題ないのは確か
>>307
無理よ ローカルのを解析するんじゃないんだから
ロックアウトされて終わり
テレネットとかしょぼいのでも辞書攻撃とか中々成功せんよ パスワードって自分の記憶力テストみたいになってるよ
調子悪い時って本当にど忘れするんだよな〜
これからネットで世界につながりますが体調はいかがですか?とか
これから仕事の世界につながりますが体調はいかがですか?とかの文章を入力欄に添えるだけで
本人に成りすましていたずらしようって気にもならなくなると思うけどなあ
リナックスなら下のコマンドでランダムな文字列を簡単に作れるよ
あれこれ考えずに済むので便利 更に完璧をきするならdev/randomをつかう
諜報機関に目でも付けられん限りまず大丈夫だと思うが
foldで文字数 headのところで必要な数を入力
昨日自分用にやっていたw
cat /dev/urandom | tr -dc "[:graph:]" | fold -w 12 | head -n 5
z'_w>w2H"wxL
ChE2qwE5e?J/
=%`br#i%Fn],
@r/Zgg5iKg8y
+z48>V'N7HG^
おれよく人のパスを見るけど小文字と数字のみ奴が多いこと多いことww
記号を入れてる奴は5パーもないww
パスワード管理ソフト使えよ。
PCやスマホ用も一元管理できるぞ。
アカウントが乗っ取られたら、パスワード変更できないと思うんだが
で、「自分のアカウントが乗っ取られたということ」はどうやって分かるの?
まさか「お前の○○アカウント乗っ取ったから」って郵便はがきが届くとでも?
ばれたり流出したら変えるだろうけど何もないのに変えてもなー
変更したせいで逆に簡単になったり偶然で突破されるかもしれないし
転ばぬ先の杖ではなく、転んでから杖を買えってことか
>>335
勝手に自分のアカウントで買い物されたり、
最悪は預金が丸ごと無くなる危険がある。
被害があってから気付いても遅いけどね。
違う場所からのログインでメールを送る設定になってれば気づきやすい。 IDが推しのアイドルの名前
PASSがその子の愛称
I9i94545o72i
4i4i4545O72i
8i8i4i4io72I
この派生で回してるな
シス管だから忘れてリセットの際も
安心
パスワード管理ツールとかも同時に勧めればいいと思うんだがな
そっちの方が下手な独自ルールなんかよりもランダムな高強度のパスワード作成できるしな
>>342
ツールが入ってる端末が壊れたら面倒?
新しい端末にバックアップから復旧するまで見れない? >>343
さすがにパスワードDBファイルはバックアップとろうよ
ツールは再インストールすればいいし
今のパスワード管理ツールは大体マルチデバイスに対応しているし
持ってるデバイス全部に突っ込んでおけばいいと思うんだけどね
自分はKeePass使ってるけど、PC数台、スマホ、タブレットにいれてるわ
DBファイルはクラウド上には置きたくないから同期が微妙に面倒だけど そりゃ三ヶ月に一回変更しろなんて言われたら、覚えやすくてクソみたいなパスワードにする奴が大半だから無意味どころか悪影響
一部の銀行みたいに振込や登録情報の変更にはトークンが必要なサービスとかはあまり神経質になってない
一応複雑なパスにはしてる
尼みたいにログインされ下手したら登録クレカでギフト設定で買い物されちゃう系サービスわ使い捨てVISAプリペイドみたいなので対応
金銭的な被害は防げてる
>>17
ほんとそれ。社内なのに月1とかってほんと面倒。安くなって来たんだから指紋認証とかの端末付けろって思うのですが 特殊な業界のマイナー商品の型番にしてるな
パスワードにぴったりの文字列
多数の客のアカウントを保持しているネットサービス以外の人間がパスワードを定期的に変える意味は無いね。
個人のメールにトップシークレットなメールとか来るのでなければ閲覧されても被害は無い。
パスワードが変更されていたらそもそも本当のユーザーがそのサービスにアクセスできないし。
パスワードを忘れて永遠にネットの世界で浮遊するサービスになるリスクのほうが大変。
Yahooだけ残して他のパスワードを全く別のものに変えたほうが無難
ヤフーに乗っ取られた場合目も当て貼れないからね
>>213
個人では変えていない
会社のは強制で変える必要がある
この人は自分の意思では(個人の分)変えていないから変えたことがないといっている
この違いが理解できないのは馬鹿だから? ある程度意味があるパスワードにして、それを思い出す一言をスマホのメモ帳に書いておく
↓のキーワード6つを回している
・猫かわいい
・ブリグ
・HN数字が先
・最初のやつ
・病気
・大学
>>351
もとは>>3なんだろうけど、昔の時代のパスワードって強度弱くない?
記号が使えないとか、6文字程度だったりとか、大文字・小文字の片方のみとか
そんなのを使い続けていると、相対的に弱くならないかな?
まあ、今でもそんなへっぽこパスワードのところあるけど >>353
最近は簡単なパスワードは弾かれるぞ
英数大小は混ぜとかないと >>354
いや昔はマジでそんな縛りあったんだよ
大文字使えねえってなんだよそれ!みたいな
あれだ4桁の数字を入力みたいなそんな感覚で運用されてた
んで文字数が増えてさらにいろんな文字混ぜろとなると
安直な変換した代物だったり覚えられなくて付箋を貼り付けたり >>355
んなのは知ってる
それを「使い続ける」ことはできんって言ってるんだよ
パソコンのログインパスくらいなら適当にできるだろうが パスモのようなICカードを作り、認証のときには必ずそのカードを
読み取り機にタッチするようにすれば、良いのになと思うよ。
ICの入った指輪でも時計でもネックレスでもいいけれども。
そのICチップには公開鍵と秘密鍵が内蔵されていて、公開鍵の方は
全世界に公開されても構わない鍵(データー)。秘密鍵はその
カードのICの内部にだけあって、決してそのままのデーターとしては
外部からは読み出せない。そうしてICチップがインテリジェントなので
タッチする合間に、安全な認証プロトコルを使ってやりとりをして
認証する。カードを無くしたり奪われたら、直ちにそのカードを無効化
する届けを出してやり直す(それはちょっと大変だが、勝手に使われ
続けるよりはマシ)。
>>358
家庭用に用いるには共通規格のカードリーダが必要で
その規格策定にうんにゃらかんにゃら
つーても企業では社員証等がきちんと社内システムIDとして機能していて
カードカードリーダに当てながらパスワード入力させるなんてのが当然な業界もアリーの
まあ利権や癒着にならなきゃそれこそマイナンバーカードなんてうってつけだわな
んで指紋や虹彩だと写真から偽造されるので+静脈で行こうか!みたいな 昔の親友の誕生日を入れてる
万が一忘れても聞けばいい
>>23
脳内妄想理系さん凄いっすね
よくそんな頭の悪いレスが出来るものだ >>353,356
まあ俺も個人プロバイダーのは20年位前から同じパスワード使い続けているけどね。
本人も忘れるくらい変更していないが全然問題なし。
まあ20年位なら英数混ぜろや一部記号も使えるはあったし文字数も8文字以上とかになっているけどね。
漏れるヤツはパスワードの問題じゃなく本人の問題の方が遥かに大きいよ。
今時の複雑なパスワードは覚えられないからメモ書きしてパソコンに張ってるし
定期的な変更は単純に末尾の数字変更だけとかになっているからね。 楽天や apple、アマゾン、マイクロソフト、その他有名メーカーの名前を騙ったメールを html 形式で表示させる事でパソコンやスマホ、タブレットをウイルス感染させようという事例が今年に入って激増しています。
メールの html 表示は、OS やアンチウイルスソフトが対策を行っても新しい手法が日々発見されるためいつまでもいたちごっこ状態が続き、常にウイルスに感染する危険があります。
そのため、複数のセキュリティメーカーや専門家は「アンチウイルスソフトを入れた状態でもメールは今後 html 形式では表示しないように。」と緊急の警告を発して話題になっています。
・「リンクをクリックしなくても html 表示した段階でウイルスに感染してしまう」と専門家は警告
今年に入って楽天やアマゾン、apple を騙る偽メールが急増しており、それらの多くがhtml 形式のメールとなっています。
twitter やブログでは「楽天や apple、その他のメーカーを騙った偽メールが来ても、メール内のリンクを開かなければ安全」と間違った情報を発しているユーザーも多数います。
しかし、実際はメールを html 表示した段階で、最新のアンチウイルスソフトを入れた状態でもウイルス感染する場合があるため、
セキュリティの専門家達は「メールは html 形式では表示しないように。自分はもちろん知り合いや家族にその事を呼びかけるように」と警告を出しています
たまに、httpsじゃないところでクレジットカードを使わせようとするサイトがまだある。
振り込みも選べるけど口座を書くのも怖いから
着払いで仕方なく買ってる。
いっその事、クレジットカードやお金を扱うサイトは全部暗号化を義務化してくれ。
パスワード生成プログラムなんていうものを簡単に信用してはならない。
たとえば、一見ランダムに見える文字列であっても、それがたとえば
10万通りしか発生しないようなものなら簡単に破られてしまう。
>>365
だから不正ログインを試行されていないか気づける仕組みが必要なのですよ。
パスワード変更では効果がないということを明確にしてくれただけ。 >>365
俺がさくっと10分で作ってやんよ
PostgreSQL+PHPだけどな
文字列はPrintable Stringでええか?
アルゴリズムは「攻撃されないようにw」秘密にしておくよwww >>366
うん、それ、俺が既に書いた
パスワード変更は、効果が無い訳ではないな。
攻撃する場合の面倒が増える。
有効かどうかと言われれば、
おっと誰かが来たようだw >>364
お前がSSLかどうか判別出来なかっただけだろ。
つか、SSL盗聴できるんだけどなwww
最近はひと手間多く掛かるんで面倒だが 変更頻度で個人と企業の端末をふるい分けするのか賢いな
パスワードを変えろとか言うけど
あれは、一応言っときましたよ、何かあったときには「ほら、言ったでしょ」の布石
>>363
0Dayやられたら、HTMLどころの話じゃなくなる。
つか、無理やろ
無駄なことをアナウンスする
だいたい、メールだぞ。
それが家族からかどうかなんてどうやって確信得られるんだよwww
書いたやつ馬鹿だなw >>371
最近じゃ、その言い訳は通じんな。
システムレベルで強制せな首になるのは免れん >>370
ある意味な。
それ、攻撃側でも使えるぞw 375名無しさん@1周年2018/05/08(火) 08:11:04.26
0721
4545
1919
パスワードが破られてからパスワードを変更すれば良いって、不思議だな。
>>377
被害が小さくなる場合もないことは無い
攻撃者が何をやっているかを知らないからそう思うんだろ >>378
問題があったといってるときは変えて置いた方がいい >総務省は、定期変更よりも、複数のサービスで同じパスワードを使い回さない、
あいかわらずの馬鹿。
複数のサービスで、いちいち変えられるかよw
パスワードは、レベルに応じて3つで十分。
ログインしたり銀行で取引した時にメール飛ばしてくれるサービスどんどん普及させてくれたほうがいい
パスワード変更によるデメリットの方が多いな。
こんだけ増えてくると法則性を付けないと覚えられないだろ。
ブルートフォースするよりお漏らしした企業から買う方が早いしな
>>384
どこかでパスワード流出したら他も全部変更すんの? これな、2パターン作って使いまわしてたんだが、どっちなのか忘れてしまって困ってた。
Amazonが始めた二重認証(固定電話や携帯電話で確認を取る)を取り入れた方が良いかもな。
>>388
レベル1は、変更しないよ。クロネコとか、代引きしか使わないマイナー通販サイトとか、
そんなのだから、放置しても、パスワードリスト攻撃の対象になりにくい。
レベル2は、アマゾンとか金がからむサイトだが、どこも流出が起きれば大ニュースになるとこばかり。
数が少ないので、全て変更する。
レベル3は、3つの銀行。さすがに漏洩しないだろ。カードの暗証番号が漏洩した事件も聞いた事がない。
普通はレベル1のサイトで漏れたPWが、レベル2のサイトで使われる。
レベル1とレベル2のpwを変えておくだけで、リスクがかなり下がる。
>>369
そのSSLかどうかの判別方法を教えろよ。
プロじゃなきゃ分からないように
セキュリティをかけるメリット無いでしょ。 >>384
普通にお前馬鹿だぞ。
そういう馬鹿が居ないと
仕事が捗らん >>385
それはそれで、別の仕事が捗るwww
どんな頻度でアクセスしてるかは重要な情報 >>386
だから、攻撃側としては都合が良いのだよw
簡単に憶えられて大文字小文字記号を混在出来る方法があるが、
もったいないので、誰にも教えないwww >>387
販売されてるが、
単価は高いし、
嘘も多い
そもそも、ブルートフォースが現実的に不可能
ネットワーク越しだと4桁が限界
単純にパフォーマンスが出ない ネット銀行が未だにパスワード変更しますかとか聞いてくる
>>388
そもそも、1つか2つのパターンで乗り切れるほど世の中単純じゃない。
記号を要求するものがあると思えば
記号がNGなものもある
みたいな。 >>390
認証デバイスやトークンは現実的やろな。
じきスマフォがドングルになるのも近いやろ。 2バイト文字(漢字とか)をパスにコピペするのがいいかもしれないな
>>392
>セキュリティをかけるメリット無いでしょ。
そ
だからSSLのページはフレーム化しちゃ駄目
素人でもアドレスバーが緑になるくらいは見ろよ >>402
そりゃ、ありがたい
もろ弱性がまた増えてたのしみだわさwww 
