1 :マジくそ速報 2019/04/26(金) 14:26:33 ID:xrCkGepZ9.net
「パスワードの定期的変更は、古びた時代遅れの極めて価値の低い対策」、Microsoftが次期大型アップデートでポリシー変更

 Microsoftは4月24日(現地時間)、間もなくリリースされるWindows 10の次期大型アップデート「Windows 10バージョン1903」(19H1)と「Windows Serverバージョン1903」について、セキュリティベースライン設定のドラフト版を公開した。

 今回のドラフトでは、「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれたことが注目されている。Microsoftはこれについて、「パスワードセキュリティの現状に問題があることは疑いようがない」と認めている。


Microsoft Security Guidance blog

 ユーザーが自分でパスワードを作成する場合、安易なパスワードを選びがちな傾向があるという。覚えにくいパスワードの作成を強要されたり、割り当てられたりすれば、目に見える場所に書きとめておく。パスワードの定期的な変更を強要されれば、既存のパスワードに予想可能な変更を少しだけ加えて済ませがちで、新しいパスワードを忘れてしまうこともある。パスワードや関連するハッシュが流出すれば、その不正利用の検出や制限は難しい。

 そうした現状を認めた上でMicrosoftでは、「パスワードの定期的な変更を促すといったポリシーは、科学的な調査で疑問が投げ掛けられている。禁止パスワードリストの強制や多要素認証といった代替策が推奨されている」と指摘する。

 パスワードの定期的な変更は、パスワードやハッシュが有効期限中に盗まれて、不正利用される事態のみを想定した対策だった。しかし「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」とMicrosoftは断言。管理者に対しては追加的な対策を講じるよう強く勧告している。

https://www.itmedia.co.jp/news/articles/1904/26/news082.html
2019年04月26日 11時30分  ITmedia NEWS
4 :マジくそ速報 2019/04/26(金) 14:31:11 ID:21pWJD020.net
俺は20桁の乱数を1個覚えて20年間使いまわしてる
17 :マジくそ速報 2019/04/26(金) 14:36:56 ID:1idmdCfB0.net
生体認証的なことではダメなのかね
18 :マジくそ速報 2019/04/26(金) 14:37:11 ID:fNv9hbfF0.net
指紋認証とかにしろ
3 :マジくそ速報 2019/04/26(金) 14:29:57 ID:aOLV8WBV0.net
pasuwa-do
は未だに破られたことない
10 :マジくそ速報 2019/04/26(金) 14:32:49 ID:29sAW5HO0.net
>>3
あれお前天才じゃね?
38 :マジくそ速報 2019/04/26(金) 14:45:27 ID:7feU1P/Q0.net
>>3 おれのPASSをどうやって見破ったんだ><、
193 :マジくそ速報 2019/04/26(金) 17:59:30 ID:pdiyp1Hi0.net
>>3
晒しちゃ駄目っす
50 :マジくそ速報 2019/04/26(金) 14:48:50 ID:fyt/bqaB0.net
>>3
日本語のローマ字入力はセキュリティ強度高いのかw
64 :マジくそ速報 2019/04/26(金) 14:55:16 ID:1GT/OUQv0.net
>>3
p@ssw0rdより全然良いわw
7 :マジくそ速報 2019/04/26(金) 14:31:46 ID:IJJFYtv70.net
あーよかった・・・
ほんとクソ面倒なんだよ
何ヶ月かに1回見るだけのfx会社のログインとか毎回変更要求されてクソ面倒にも程があった
過去のなんてシラネーヨハゲと毎回思う
変更頼むわ
29 :マジくそ速報 2019/04/26(金) 14:42:43 ID:2HrNF0vZ0.net
>>7
過去の類似パスワードを使用していますて言われるけど、破棄していないんかいと毎回思うわw
そこのDBに過去パスが有るのがリスクなんだが。
33 :マジくそ速報 2019/04/26(金) 14:43:53 ID:8qvnx1JK0.net
>>29
過去パスを保存してると思ってる馬鹿発見
111 :マジくそ速報 2019/04/26(金) 15:36:02 ID:RRpcFcWA0.net
>>33
ハッシュ化してるならまだしも
平文で保存してなきゃ「似てます」とさ出ないだろ
198 :マジくそ速報 2019/04/26(金) 18:11:36 ID:VgwKXDzI0.net
>>29
うちの会社なんか過去5回分まで保存しておるわ。うるさくてかなわん。

まあパスワードの下一桁を0~9で使い回している俺には全く通用しない訳だがw
232 :マジくそ速報 2019/04/27(土) 09:42:50 ID:fY36IPm50.net
>>198
うちもそれだから毎月1日に末尾1から9とABCにしてる。10月がAなのか0なのかで毎回間違えるのが玉に瑕
27 :マジくそ速報 2019/04/26(金) 14:41:40 ID:LZjrELgz0.net
新生銀行は90日で変えろってうるさい。
28 :マジくそ速報 2019/04/26(金) 14:42:17 ID:qmG0BG/50.net
職場で定期的にいちいちパスワード変更求められて面倒くさかったわ
9 :マジくそ速報 2019/04/26(金) 14:32:28 ID:+hNT+oyx0.net
また不具合の人柱報告を見た後でアップデートするか
まあそれ以前に前回の大型アップデートをまだ実行してないんだけどね
11 :マジくそ速報 2019/04/26(金) 14:33:52 ID:SI1RGIxz0.net
指紋承認とか顔認識じゃダメなの?
216 :マジくそ速報 2019/04/26(金) 19:49:24 ID:omhohSpL0.net
>>11
いまだと高性能なカメラの写真で認証通っちゃう
ほんとに重要なセキュリティなら生体かなあ
個人のパソコン程度なら使わない時電源落として回線かコンセント抜いとけ
15 :マジくそ速報 2019/04/26(金) 14:35:48 ID:BL4TnN0P0.net
最近は単語の組み合わせでいいからとにかく長くしろとか言われる(´・ω・`)
62 :マジくそ速報 2019/04/26(金) 14:53:35 ID:rnL+r8Fg0.net
>>15
my john is hard and strong enough.
16 :マジくそ速報 2019/04/26(金) 14:36:28 ID:7Scs0C6Q0.net
>>1
英数記号32文字で作ったパスワードをコピペするのが、
現状では安全性が高く、ストレスもたまらないな
21 :マジくそ速報 2019/04/26(金) 14:38:51 ID:nzbgbD0m0.net
生体認証でいいじゃん
23 :マジくそ速報 2019/04/26(金) 14:39:08 ID:uW2uMxkr0.net
・顔認証
・指紋認証
・静脈認証


これをデフォにすればいいだけ
121 :マジくそ速報 2019/04/26(金) 15:45:34 ID:OMuwOjgE0.net
>>23
顔認証→マスクしてるとダメ
指紋認証→手荒れでダメ
静脈認証→
153 :マジくそ速報 2019/04/26(金) 16:37:21 ID:Q1khYbXQ0.net
>>121
指紋認証は寝ている間にクソガキが親の指を端末にかざすこともあるんやで
168 :マジくそ速報 2019/04/26(金) 16:50:14 ID:1/kCQW8p0.net
>>153
エネミーゼロで指紋認証のドア開けるために死体の手首切り落として持ち歩いてたのを思い出した
26 :マジくそ速報 2019/04/26(金) 14:41:37 ID:8qvnx1JK0.net
生体認証が良いとか言ってる馬鹿は
相応の機材が無いとソフトウエアが無いと
使えないことくらい解らんのか
40 :マジくそ速報 2019/04/26(金) 14:45:36 ID:b9OxeCfh0.net
>>1
重要性に応じて4レベルぐらいに分けて
それぞれのパスワードを変更せず使ってる。
くだらない目的に重要なパスワードは使わない。
39 :マジくそ速報 2019/04/26(金) 14:45:32 ID:+Wit1QaM0.net
古い時代のっていう前に
考えたやつが頭悪すぎるとしか思えないな
なんで存在して今もなお要求されているのか疑問
43 :マジくそ速報 2019/04/26(金) 14:47:05 ID:GjLQ/r7q0.net
パスワードを定期的に強制的にしつこく変更を迫ると
だんだん簡単なパスワードしか思いつかなくなって
脆弱性になるという報告があるな
66 :マジくそ速報 2019/04/26(金) 15:00:34 ID:TdIKdYqY0.net
>>43
MSで保存するにチェックしてないと覚えてくれなかったときがあって
変更2回で実感した
59 :マジくそ速報 2019/04/26(金) 14:52:39 ID:HgaguqhE0.net
頼むからパスワードは英数記号数字込みで最大128文字入れさせてくれ
そうすりゃなんかの小説の一節使うから
60 :マジくそ速報 2019/04/26(金) 14:52:52 ID:FCo6zYmj0.net
2バイト文字可能にして日本語でやらせてくれ
91 :マジくそ速報 2019/04/26(金) 15:12:26 ID:wWOHJnlf0.net
去年使ってたパスワード

旅行した場所(伊勢神宮)  日付(10月29日)  昔飼ってた犬の名前(マロン)  犬の亡くなった年(平成24年)

iSejiNg2910MarOn24
98 :マジくそ速報 2019/04/26(金) 15:16:38 ID:cWeSkE9KO.net
>>91
なるほど
英数字混在必須だと悩むけど
こんな感じがいいのか
参考になった、ありがとう
63 :マジくそ速報 2019/04/26(金) 14:54:02 ID:7Scs0C6Q0.net
Kz1Qy3KWvBwgCdb9n8rwQw92OKlCfVRf 英数
e:EHWne2Ty7dTC:+_%$znzPlk]*"!Oob 英数記号

こういうのをコピペすればまず問題なし
74 :マジくそ速報 2019/04/26(金) 15:03:46 ID:siQgLPBu0.net
>>63
漏れてたらどんな形式でも長さでも関係ないというところがパスワードの問題なので
そういう意味でWebAuthnがじわりと普及の兆しを見せてる
おそらく標準になる
90 :マジくそ速報 2019/04/26(金) 15:12:02 ID:cWeSkE9KO.net
>>74
WebAuthnって何ですか?
教えてください
107 :マジくそ速報 2019/04/26(金) 15:33:04 ID:siQgLPBu0.net
>>90
パスワード不要の認証方式
93 :マジくそ速報 2019/04/26(金) 15:12:58 ID:KsvbzjIH0.net
古いって上から目線で偉そうに断じるだけで、対策は丸投げ
凄いな
94 :マジくそ速報 2019/04/26(金) 15:13:30 ID:ZSw6Ukgz0.net
定期的に変更しろって言ってたのあんたらじゃん・・・
https://www.microsoft.com/ja-jp/safety/terms/password_whatis.aspx
77 :マジくそ速報 2019/04/26(金) 15:05:51 ID:b8P1oHKn0.net
>>安易なパスワードを選びがちな傾向がある

Windows10の起動にマイクロソフトアカウントを設定すると
4桁のパスワード入力になるんだろ?
ローカルで保存しないから簡単な4桁のパスワードでも安全です!って
書いてあるが嘘じゃねーか
144 :マジくそ速報 2019/04/26(金) 16:29:52 ID:1sI+8bdZ0.net
>>77
4桁のはそのパソコンでしか使わないから安全、って説明でしょ。
36 :マジくそ速報 2019/04/26(金) 14:44:59 ID:HidO4TY50.net
旧来の短いローカルのログインパスワードを使っていたら、Windowsがセキュリティ安全なマイクロソフトアカウントに切り替えろと言ってきて、変えたらWindowsがパスワードは危険だからローカルな4桁のPINにしろとか言ってきたのは覚えている。
86 :マジくそ速報 2019/04/26(金) 15:10:49 ID:j1s1YePq0.net
うちの会社も定期的にパスワード変えろっていうシステムにしてるんだよな
今のパスワードなんだったか忘れかけてたわ
37 :マジくそ速報 2019/04/26(金) 14:45:22 ID:jkNwk2Kd0.net
今はグーグルさんが自動的にパスワード生成して入れてくれるから、何も考えてないわ。www
100 :マジくそ速報 2019/04/26(金) 15:18:59 ID:7Scs0C6Q0.net
まずパスワードを自分の頭に記憶していなければならない
という思い込み、先入観を捨てろ
196 :マジくそ速報 2019/04/26(金) 18:08:08 ID:syGsTlPI0.net
正直、googleのパスワード管理のデータ消えたら大変な事になる
57 :マジくそ速報 2019/04/26(金) 14:52:14 ID:4p6dw6sl0.net
大体、クレジットカードのセキュリティが裏に書いてる3桁の数字で済むんだから
パスワードなんて変更の意味は薄い
54 :マジくそ速報 2019/04/26(金) 14:51:18 ID:+rUnilga0.net
パスワードってのが古く煩わしいものになって結局物理的なカギが一番楽な気がする
それがスマホだったりするのかもしれないけど
104 :マジくそ速報 2019/04/26(金) 15:26:26 ID:1fqe6OqJ0.net
変えてもまた解析されて破られる
いつか変える前に侵入されるよ
だったら最初から解析されないパスワードにしたほうが良い
変更していれば安全ってこともない
変更の手間に見合うほどのメリットはないってこと
123 :マジくそ速報 2019/04/26(金) 15:46:55 ID:i3MiEvxy0.net
いくら変更しても漏れるから無意味。
二段階認証は必須。
76 :マジくそ速報 2019/04/26(金) 15:05:30 ID:1fqe6OqJ0.net
まぁそうだよな
盗まれる想定じゃん
変えてもまた盗まれるんじゃいつか破られるわ
178 :マジくそ速報 2019/04/26(金) 17:18:55 ID:BFQNwZSU0.net
ってか2段階認証あればなんでもよくね?
173 :マジくそ速報 2019/04/26(金) 17:08:23 ID:GlWUyy4t0.net
でも二段階認証とか要求したらオッサンたちフリーズするぜ?
171 :マジくそ速報 2019/04/26(金) 17:05:53 ID:Kjb1AptN0.net
ワンタイムトークン買ってね☆
53 :マジくそ速報 2019/04/26(金) 14:51:13 ID:bez8AwWl0.net
パスワード変更より
いつもと違う端末からログインされた場合に通知いれてくれ
201 :マジくそ速報 2019/04/26(金) 18:27:09 ID:oVa1eXpu0.net
会社の基幹ソフトとか半年に一回変更を求めてきやがる
しかも過去5回まで遡って同じパスワードはダメという
240 :マジくそ速報 2019/04/27(土) 11:36:09 ID:YOjO4xgL0.net
画面の周りの付箋紙を増やした主犯
242 :マジくそ速報 2019/04/27(土) 11:51:14 ID:nh66OP5M0.net
パスワードは全てデスクトップのパスワードフォルダに入れてある
これで忘れても大丈夫