RSSおすすめ記事です

スポンサーリンク

Microsoftが「パスワードの定期変更は不要」と宣言、パスワードに有効期限を定める方針は廃止へ

ニュースセキュリティ

セキュリティ

スポンサーリンク

Introduction

1 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:03:20.84 ID:CAP_USER.net

Microsoftは2019年4月24日、Windows 10 バージョン1903ならびにWindows Server バージョン1903のセキュリティベースラインのドラフト(仕様書)を公開しました。その中で、Microsoftはパスワードの定期変更に疑問を呈し、「パスワードに有効期限を設ける」というこれまでの方針を廃止したことを明らかにしました。

バージョン1903は2019年5月末に配布される予定の次期大型アップデートです。バージョン1903ではWindows Updateの改良が予定されていて、更新プログラムの適用を最大35日まで延期することが可能になっています。また、2017年に削除リストに追加されてしまったMSペイントが引き続きビルドに含まれることが話題となりました。

そんなバージョン1903のセキュリティベースラインのドラフトの中で、Microsoftは「パスワードの定期変更を必要とするようなパスワード有効期限ポリシーを削除します」と明記しました。

Microsoftは、「人間が自分のパスワードを選ぶ時、簡単に予測できるようなものにしてしまいがちです。しかし、覚えにくいパスワードを割り立てたり作成したりすると、他の人が見られる場所に書き留めてしまうことがよくあります。また、自分のパスワードの変更を余儀なくされると、既存のパスワードを予測可能なものに変更したり、新しいパスワードを忘れたりします」と述べ、セキュリティ業界で長年勧められてきたパスワードの定期変更に対して疑問を呈しています。

ただし、パスワードの有効期限ポリシーを削除する代わりに、セキュリティベースラインには含まれていないものの、禁止パスワードリストの導入や二段階認証などといった代替手段をMicrosoftは勧めています。

「パスワードの定期変更は不要」という主張は近年注目されているもので、2018年には日本の総務省が「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません」と述べています。

また、Windows 10ではローカルのAdministrator(管理者)アカウントがデフォルトで無効になっていてインストール中に新規でAdministratorアカウントを作成する必要があります。MicrosoftはこのAdministratorアカウントの強制無効についてもとりやめる方針を検討していると述べています。
2019年04月26日 10時00分
https://gigazine.net/news/20190426-microsoft-drops-password-expiration-rec/


スポンサーリンク

ネットの反応

4 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:07:03.37 ID:TNpc5Rlz.net

他のサービスで同じパスワードの使い回しは?

7 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:10:26.59 ID:KEtVcSTJ.net

>>4
別問題

13 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:25:15.48 ID:eDD+H55l.net

ベストなのは32文字ランダム記号ありで、全インターネット関連企業が統一してもらった方が
実際はセキュリティーの質はあがるか、ドングルあたりで認証の方がマシだと思う

15 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:26:54.03 ID:T2B3Et7O.net

定期的に変更してください、直近10回分のパスワードとの重複は不可です

こんなこと言われたら特定のワードに1から10までの番号付加してぐるぐる使い回すことになるに決まってるからな

19 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:31:59.59 ID:Sr7f1r4u.net

>>15
定期的なパスワード変更と再利用禁止を強制すると
下手したらポストイットにパスワード書いて機器に貼るからねー

システムセキュリティを考える際に
「人間のサガ」まで考慮するようになったのは良いことだと思う

17 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:27:20.78 ID:FUA8Vc3F.net

パスワード一つの場所では
同じの使い続けてもいいんじゃねえかという感じするけど
色んなトコで同じパスワード使い回すのはヤバいよな

それだと簡単とか複雑とか関係なく全滅するしな

31 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:45:15.75 ID:tLOUD3Cw.net

ネットでのパスワードは極力手打ちしない。
パスワード入力ソフトの方がフィッシングで騙される危険が少ないから。
その代わりパスワードはジェネレーターで各サイトごとに個別に作り同じパスワードは使わない。

34 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:51:11.50 ID:Qcv0/FbW.net

難しいパスワードが覚えられないのなら、パスワード専用の秘書を雇えば良いじゃない?

35 : 名無しのシステムエンジニアさん 2019/04/26(金) 12:54:43.05 ID:W/GnfyRr.net

>>34
秘書:
「その質問にはお答えできません。マスターパスワードが間違っており、本人認証に失敗しました。
あと4回間違えたら御社都合で退職させていただきます。」

39 : 名無しのシステムエンジニアさん 2019/04/26(金) 13:00:20.58 ID:KWEXQKt4.net

運動してるときに水飲むなみたいなこのパスワード変更に関する迷信が
20年以上も信じられてきたんだよね

45 : 名無しのシステムエンジニアさん 2019/04/26(金) 13:10:24.50 ID:dwnghOsH.net

これだわ
https://www.itmedia.co.jp/news/spv/1708/18/news072.html
「パスワードには、大文字や小文字、数字、記号を盛り込み、定期的に変更する」――こうしたルールは間違いかもしれない。ルールを提唱した、米国立標準技術研究所(NIST)の元研究者ビル・バー氏は「結果的に間違いだった」と後悔しているという。

119 : 名無しのシステムエンジニアさん 2019/04/26(金) 22:00:31.17 ID:mqKa6+YC.net

>>45
そうそう、これこれ

なんでマイクロソフトが提言したみたいになってんだ?乗っかっただけじゃん

50 : 名無しのシステムエンジニアさん 2019/04/26(金) 13:23:39.80 ID:Sy92FKZN.net

定期的に変更要求されると結局は物理メモを残すか法則のって同じパス使いまわすだけだからな
2週間でパス変更要求するくせに一度使ったパスは二度と使えない連続で間違うとロックするとか楽天の店舗管理はゴミ

59 : 名無しのシステムエンジニアさん 2019/04/26(金) 13:44:30.93 ID:bRT6DdGI.net

>>50
同感

60 : 名無しのシステムエンジニアさん 2019/04/26(金) 13:46:23.30 ID:4A3o54pw.net

おれのヤフーのパスワードは
sonmasayosinohage

62 : 名無しのシステムエンジニアさん 2019/04/26(金) 13:52:00.82 ID:fxH1Kw9v.net

>>60
踏み絵かよ

61 : 名無しのシステムエンジニアさん 2019/04/26(金) 13:49:54.84 ID:le4To1io.net

ガリア戦記のラテン語原文を前からパスワードとして使ってる。
覚えやすくて、他人には無規則な文字列に見えるので便利。

78 : 名無しのシステムエンジニアさん 2019/04/26(金) 18:22:32.42 ID:o1oy5D5C.net

パスワードを何度も間違えて入力するとロックされるセキュリティが
確保されている場合は、無闇に変更する必要はないのかもね。

ユーザーにパスワードの変更を促してパスワードを盗む釣りとかもあるし、
それにもひっかかりやすくなる。

ただし、そのロック機能がないルーターとかのパスワードは小まめに
変更したほうがいいんじゃないかなあ?

95 : 名無しのシステムエンジニアさん 2019/04/26(金) 20:44:30.23 ID:ZhzkNyj7.net

昔、高木浩光センセが言ってた通りやね。

100 : 名無しのシステムエンジニアさん 2019/04/26(金) 21:24:52.91 ID:EXelwEKx.net

セキュリティ界隈では当たり前なんだけどね
正直いまさら感

パスワード変えろ!のメッセージを出すサービスは、正直レベル低い

104 : 名無しのシステムエンジニアさん 2019/04/26(金) 21:32:53.59 ID:EXelwEKx.net

まさかこのスレで、2段階認証に対応しているサービスなのにそうしていない人はいないよね?

122 : 名無しのシステムエンジニアさん 2019/04/26(金) 22:14:52.88 ID:myRrDOQa.net

>>104
昔のGoogleの二段階認証は認証コード生成アプリだけでも良かったのに、
ほどなく電話番号強制になったから、一段階のまま放置中のアカウントがあったわ

…過去形なのは、最近Yubikeyを買ったから

125 : 名無しのシステムエンジニアさん 2019/04/26(金) 22:35:58.23 ID:EXelwEKx.net

>>122
YubiKeyすか
いいねぇ
なんか良い製品がないか様子見
amazonとかでスターが3桁になるような定番商品が出てこないとなんとなく買う気になれない段階

112 : 名無しのシステムエンジニアさん 2019/04/26(金) 21:39:34.28 ID:EXelwEKx.net

秘密の質問を強要してくるシステムもダメダメだよな
「母親の出身地はどこですか?」
「最後に卒業した小学校の名前は?」
とかね・・・
そんなん逆にセキュリティホールだわw
あぶねーあぶねー

答えは、パスワードと同じレベルのランダムな文字列にしてるわ
もしかして俺だけ?

163 : 名無しのシステムエンジニアさん 2019/04/27(土) 12:45:43.68 ID:f8JRZ+Im.net

>>112
最近政府の作ったセキュリティ啓蒙書には、
「秘密の質問に真面目に答えない」が推奨されてるよ

https://www.nisc.go.jp/security-site/files/blue_handbook-01.pdf

30ページ参照な

164 : 名無しのシステムエンジニアさん 2019/04/27(土) 12:53:18.67 ID:n8ENZUfv.net

>>163
でもさ、「ペットの名前は?」とか聞かれて適当に答えたのなんて覚えてないから、
パスワード再発行時に詰むのでは?

168 : 名無しのシステムエンジニアさん 2019/04/27(土) 13:12:39.61 ID:f8JRZ+Im.net

>>164
騙されたと思っていっぺん読んでみて
お役所仕事にしてはよく出来てるから

146 : 名無しのシステムエンジニアさん 2019/04/27(土) 03:42:34.64 ID:enr6GhUi.net

マイクロソフトはようやく20年前の俺のところまで来たのか(´・ω・`)

Posted by flac