Microsoftは4月24日(現地時間)、間もなくリリースされるWindows 10の次期大型アップデート「Windows 10バージョン1903」(19H1)と「Windows Serverバージョン1903」について、セキュリティベースライン設定のドラフト版を公開した。
今回のドラフトでは、「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれたことが注目されている。Microsoftはこれについて、「パスワードセキュリティの現状に問題があることは疑いようがない」と認めている。
https://image.itmedia.co.jp/news/articles/1904/26/l_ms.jpg
Microsoft Security Guidance blog
ユーザーが自分でパスワードを作成する場合、安易なパスワードを選びがちな傾向があるという。覚えにくいパスワードの作成を強要されたり、割り当てられたりすれば、目に見える場所に書きとめておく。パスワードの定期的な変更を強要されれば、既存のパスワードに予想可能な変更を少しだけ加えて済ませがちで、新しいパスワードを忘れてしまうこともある。パスワードや関連するハッシュが流出すれば、その不正利用の検出や制限は難しい。
そうした現状を認めた上でMicrosoftでは、「パスワードの定期的な変更を促すといったポリシーは、科学的な調査で疑問が投げ掛けられている。禁止パスワードリストの強制や多要素認証といった代替策が推奨されている」と指摘する。
パスワードの定期的な変更は、パスワードやハッシュが有効期限中に盗まれて、不正利用される事態のみを想定した対策だった。しかし「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」とMicrosoftは断言。管理者に対しては追加的な対策を講じるよう強く勧告している。
https://www.itmedia.co.jp/news/articles/1904/26/news082.html
2019年04月26日 11時30分 ITmedia NEWS
は未だに破られたことない
あれお前天才じゃね?
if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}
笑ってしまった
さりげなく面白い
日本語のローマ字入力はセキュリティ強度高いのかw
全然。
こいつが破られていないと主張してあるだけで、こいつのパソコンにはボット仕込まれてるかも知れない。
日本用のクラッキング辞書には漢字ひらがなカタカナ、ローマ字でよく使われる言葉のハッシュが入っている。
password をパスワードにしている人でも、自分が酷い目にに合わないと俺のパスワードはこれで十分とか言っている。
if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}
p@ssw0rdより全然良いわw
英数字記号で8文字以上とかやめてほしいわ
結局は数字で置き換えられてるから
誰かに当てられる
ほんとクソ面倒なんだよ
何ヶ月かに1回見るだけのfx会社のログインとか毎回変更要求されてクソ面倒にも程があった
過去のなんてシラネーヨハゲと毎回思う
変更頼むわ
if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}
過去の類似パスワードを使用していますて言われるけど、破棄していないんかいと毎回思うわw
そこのDBに過去パスが有るのがリスクなんだが。
過去パスを保存してると思ってる馬鹿発見
ハッシュ化してるならまだしも
平文で保存してなきゃ「似てます」とさ出ないだろ
どうやって類似を判断するんだ?
予め似てるパスワードを生成してハッシュ化して保存してるのか?
if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}
現実に使い回ししている奴は、
そのパスワードで他のサイトに登録→他のサイトがクラックされてパスワード流失
そのサイトのそのパスワードを別件で変えていたので不一致だったのに、あるタイミングで戻したので流失したパスワードでクラックされたなんて話は山ほどあるからな。
馬鹿は安全のためにやっていることを理解できない。
だが、馬鹿のためにセキュリティレベルは下げられない。
まあそれ以前に前回の大型アップデートをまだ実行してないんだけどね
めんどくせー
if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}
もともとは政府に対抗するための暗号プログラムで、広めてしまえば政府の関与もなくなるだろうと思っていた
業者に依頼することも出来ない
さっさと独禁法違反で解体されろクズ
if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}
考えたやつが頭悪すぎるとしか思えないな
なんで存在して今もなお要求されているのか疑問
重要性に応じて4レベルぐらいに分けて
それぞれのパスワードを変更せず使ってる。
くだらない目的に重要なパスワードは使わない。
だんだん簡単なパスワードしか思いつかなくなって
脆弱性になるという報告があるな
MSで保存するにチェックしてないと覚えてくれなかったときがあって
変更2回で実感した
if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}
いつもと違う端末からログインされた場合に通知いれてくれ
それがスマホだったりするのかもしれないけど
パスワードなんて変更の意味は薄い
if(navigator.userAgent.indexOf(‘iPhone’) > 0){
document.write(”);
} else if( navigator.userAgent.indexOf(‘Android’) > 0 ) {
document.write(”);
} else {
;
}
凄いな
元スレ:http://asahi.5ch.net/test/read.cgi/newsplus/1556256393/
Source: mindhack
【IT】Microsoft「パスワードの定期的変更は、古びた時代遅れの極めて価値の低い対策」 次期大型アップデートでポリシー変更