【IT】Microsoft「パスワードの定期的変更は、古びた時代遅れの極めて価値の低い対策」　次期大型アップデートでポリシー変更

トレンド

2019.04.28

1: 靄々 ★ 2019/04/26(金) 14:26:33.25 ID:xrCkGepZ9

「パスワードの定期的変更は、古びた時代遅れの極めて価値の低い対策」、Microsoftが次期大型アップデートでポリシー変更

　Microsoftは4月24日（現地時間）、間もなくリリースされるWindows 10の次期大型アップデート「Windows 10バージョン1903」（19H1）と「Windows Serverバージョン1903」について、セキュリティベースライン設定のドラフト版を公開した。

　今回のドラフトでは、「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれたことが注目されている。Microsoftはこれについて、「パスワードセキュリティの現状に問題があることは疑いようがない」と認めている。

https://image.itmedia.co.jp/news/articles/1904/26/l_ms.jpg
Microsoft Security Guidance blog

　ユーザーが自分でパスワードを作成する場合、安易なパスワードを選びがちな傾向があるという。覚えにくいパスワードの作成を強要されたり、割り当てられたりすれば、目に見える場所に書きとめておく。パスワードの定期的な変更を強要されれば、既存のパスワードに予想可能な変更を少しだけ加えて済ませがちで、新しいパスワードを忘れてしまうこともある。パスワードや関連するハッシュが流出すれば、その不正利用の検出や制限は難しい。

　そうした現状を認めた上でMicrosoftでは、「パスワードの定期的な変更を促すといったポリシーは、科学的な調査で疑問が投げ掛けられている。禁止パスワードリストの強制や多要素認証といった代替策が推奨されている」と指摘する。

　パスワードの定期的な変更は、パスワードやハッシュが有効期限中に盗まれて、不正利用される事態のみを想定した対策だった。しかし「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」とMicrosoftは断言。管理者に対しては追加的な対策を講じるよう強く勧告している。

https://www.itmedia.co.jp/news/articles/1904/26/news082.html
2019年04月26日 11時30分　　ITmedia NEWS

2: 名無しさん＠１周年 2019/04/26(金) 14:28:47.38 ID:hrv5ID2T0

更新する度にパソコンが重くなってくるから更新するなぁ。このボケ！

3: 名無しさん＠１周年 2019/04/26(金) 14:29:57.95 ID:aOLV8WBV0

pasuwa-do
は未だに破られたことない

10: 名無しさん＠１周年 2019/04/26(金) 14:32:49.63 ID:29sAW5HO0

>>3
あれお前天才じゃね？

if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}

13: 名無しさん＠１周年 2019/04/26(金) 14:34:03.87 ID:HTP7wwBM0

>>3
笑ってしまった
さりげなく面白い

38: 名無しさん＠１周年 2019/04/26(金) 14:45:27.79 ID:7feU1P/Q0

>>3　おれのＰＡＳＳをどうやって見破ったんだ＞＜、

50: 名無しさん＠１周年 2019/04/26(金) 14:48:50.22 ID:fyt/bqaB0

>>3
日本語のローマ字入力はセキュリティ強度高いのかw

132: 名無しさん＠１周年 2019/04/26(金) 16:19:05.77 ID:+MSTlKPN0

>>50
全然。

こいつが破られていないと主張してあるだけで、こいつのパソコンにはボット仕込まれてるかも知れない。

日本用のクラッキング辞書には漢字ひらがなカタカナ、ローマ字でよく使われる言葉のハッシュが入っている。

password をパスワードにしている人でも、自分が酷い目にに合わないと俺のパスワードはこれで十分とか言っている。

if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}

64: 名無しさん＠１周年 2019/04/26(金) 14:55:16.00 ID:1GT/OUQv0

>>3
p@ssw0rdより全然良いわw

75: 名無しさん＠１周年 2019/04/26(金) 15:04:29.20 ID:M1O5dbW70

>>64
英数字記号で８文字以上とかやめてほしいわ

http://mv-mindhack2ch.up.seesaa.net/common/kijinaka.js

6: 名無しさん＠１周年 2019/04/26(金) 14:31:44.78 ID:Ie1oi0HE0

言葉がどうこうとか画像がどうこうとか言っても
結局は数字で置き換えられてるから
誰かに当てられる

7: 名無しさん＠１周年 2019/04/26(金) 14:31:46.10 ID:IJJFYtv70

あーよかった・・・
ほんとクソ面倒なんだよ
何ヶ月かに1回見るだけのfx会社のログインとか毎回変更要求されてクソ面倒にも程があった
過去のなんてシラネーヨハゲと毎回思う
変更頼むわ

if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}

29: 名無しさん＠１周年 2019/04/26(金) 14:42:43.19 ID:2HrNF0vZ0

>>7
過去の類似パスワードを使用していますて言われるけど、破棄していないんかいと毎回思うわw
そこのDBに過去パスが有るのがリスクなんだが。

33: 名無しさん＠１周年 2019/04/26(金) 14:43:53.45 ID:8qvnx1JK0

>>29
過去パスを保存してると思ってる馬鹿発見

111: 名無しさん＠１周年 2019/04/26(金) 15:36:02.76 ID:RRpcFcWA0

>>33
ハッシュ化してるならまだしも
平文で保存してなきゃ「似てます」とさ出ないだろ

151: 名無しさん＠１周年 2019/04/26(金) 16:37:07.72 ID:+LZG2GpW0

>>33
どうやって類似を判断するんだ？
予め似てるパスワードを生成してハッシュ化して保存してるのか？

if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}

136: 名無しさん＠１周年 2019/04/26(金) 16:21:55.29 ID:+MSTlKPN0

>>29
現実に使い回ししている奴は、

そのパスワードで他のサイトに登録→他のサイトがクラックされてパスワード流失

そのサイトのそのパスワードを別件で変えていたので不一致だったのに、あるタイミングで戻したので流失したパスワードでクラックされたなんて話は山ほどあるからな。

馬鹿は安全のためにやっていることを理解できない。
だが、馬鹿のためにセキュリティレベルは下げられない。

9: 名無しさん＠１周年 2019/04/26(金) 14:32:28.15 ID:+hNT+oyx0

また不具合の人柱報告を見た後でアップデートするか
まあそれ以前に前回の大型アップデートをまだ実行してないんだけどね

12: 名無しさん＠１周年 2019/04/26(金) 14:34:02.32 ID:iF51rISO0

またこの時期が来たのか
めんどくせー

15: 名無しさん＠１周年 2019/04/26(金) 14:35:48.23 ID:BL4TnN0P0

最近は単語の組み合わせでいいからとにかく長くしろとか言われる(´・ω・｀)

if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}

28: 名無しさん＠１周年 2019/04/26(金) 14:42:17.16 ID:qmG0BG/50

職場で定期的にいちいちパスワード変更求められて面倒くさかったわ

31: 名無しさん＠１周年 2019/04/26(金) 14:43:32.08 ID:K3pTZY1J0

鍵番号システム作ったプログラマが、「世間と企業がこんなにも馬鹿だとは思わなかった」と頭抱えたからな
もともとは政府に対抗するための暗号プログラムで、広めてしまえば政府の関与もなくなるだろうと思っていた

32: 名無しさん＠１周年 2019/04/26(金) 14:43:50.00 ID:BaJ2pMnV0

トラブルが起きて起動できなくなった時にリカバリーやデータを取り出す作業が出来なくなるな
業者に依頼することも出来ない

35: 名無しさん＠１周年 2019/04/26(金) 14:44:11.39 ID:7feU1P/Q0

>>1　やかましい。おまえのせいだろ。
さっさと独禁法違反で解体されろクズ

if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}

39: 名無しさん＠１周年 2019/04/26(金) 14:45:32.21 ID:+Wit1QaM0

古い時代のっていう前に
考えたやつが頭悪すぎるとしか思えないな
なんで存在して今もなお要求されているのか疑問

40: 名無しさん＠１周年 2019/04/26(金) 14:45:36.17 ID:b9OxeCfh0

>>1
重要性に応じて４レベルぐらいに分けて
それぞれのパスワードを変更せず使ってる。
くだらない目的に重要なパスワードは使わない。

43: 名無しさん＠１周年 2019/04/26(金) 14:47:05.60 ID:GjLQ/r7q0

パスワードを定期的に強制的にしつこく変更を迫ると
だんだん簡単なパスワードしか思いつかなくなって
脆弱性になるという報告があるな

66: 名無しさん＠１周年 2019/04/26(金) 15:00:34.88 ID:TdIKdYqY0

>>43
MSで保存するにチェックしてないと覚えてくれなかったときがあって
変更2回で実感した

if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}

53: 名無しさん＠１周年 2019/04/26(金) 14:51:13.63 ID:bez8AwWl0

パスワード変更より
いつもと違う端末からログインされた場合に通知いれてくれ

54: 名無しさん＠１周年 2019/04/26(金) 14:51:18.14 ID:+rUnilga0

パスワードってのが古く煩わしいものになって結局物理的なカギが一番楽な気がする
それがスマホだったりするのかもしれないけど

57: 名無しさん＠１周年 2019/04/26(金) 14:52:14.75 ID:4p6dw6sl0

大体、クレジットカードのセキュリティが裏に書いてる3桁の数字で済むんだから
パスワードなんて変更の意味は薄い

60: 名無しさん＠１周年 2019/04/26(金) 14:52:52.37 ID:FCo6zYmj0

2バイト文字可能にして日本語でやらせてくれ

if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}

93: 名無しさん＠１周年 2019/04/26(金) 15:12:58.40 ID:KsvbzjIH0

古いって上から目線で偉そうに断じるだけで、対策は丸投げ
凄いな