もうパスワードを定期的に変更しろなんて言わないよ絶対

＜アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ＞

米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所（NIST）が発行する『電子認証に関するガイドライン』の新版からルールを変更する。

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

【参考記事】パスワード不要の世界は、もう実現されている？！

実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜなら、ユーザーは新しいパスワードをいい加減に作る傾向があるからだ。どうせ数カ月後に変更を求められると思えばなおさらだ。

「パスフレーズ」の普及を

ノースカロライナ大学チャペルヒル校の調査によると、定期的にパスワード変更を求められると、人々は多くの場合、まったく新しく作り直すのでなく、同じパターンで少しずつパスワードを変更する。どこかの1文字だけを順番に変えていくなどのパターンになりやすい。

【参考記事】サイバー攻撃で他国を先制攻撃したいドイツの本音

仮に、まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

【参考記事】ランサムウエア「WannaCry」被害拡大はNSAの責任なのか

定期的なパスワード変更を止める代わり、NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する。フレーズにすれば長くても覚えやすく、桁数が多いので解読されにくい。

NISTからの通達が出回れば、定期的なパスワード変更の代わりに「パスフレーズ」を求めるサイトやサービスも増えてくるだろう。

http://www.newsweekjapan.jp/stories/world/2017/05/-----2.php

間違ったパスワードの扱い
・記録してはいけない（忘れる人多発）
・パスワードを定期的に変える（前のを忘れていたりで面倒になる）

パスワードは必ず明記していつでも出せるところに保管
メールの場合パスワードよりIDが重要。使える文字数最大には使うべき
長い文字数のIDの場合迷惑メールが来る確率が極端に少なくなる

ルーターのファームウェアをバージョンアップしただけで「接続環境が
変わったからアカウントロックしたぞパスワード変えろ」って言ってくる
サービスとかどうにかならんかのぅ。

パスワードには英数字しか使用してはいけませんとか
パスワードが長すぎますとかでエラー吐くサイト放置してる管理者は今すぐ飛び降りて死ね

生体認証よりはパスワードかパスフレーズのほうがまし
問答無用の生体認証よりユーザーの主体性を認められる点において評価できる

ID・パスをメモする　→　そのメモ用紙・ノートどこいったっけ　→　＞＜

>>3
同意

あ

パスワードはWindowsのメモ帳に全部書いて保存してある

クソうぜえのがパスに記号も入れろとか勝手にそこのオリジナルルール強要してるサイト
これはメモらないと間違いなくすぐ忘れる、だってそんなパスワード他では使ってないからな

歌詞(英語)の一部を数字混じりにして使ってる
e=3とかo=0とか
思いつかないときはパスワード生成してるけど覚えられないから入力がめんどくさいんだよな

英字を数字に置換するのはほとんど意味ない
一つのパスワードの中で数字に置き換えられそうな文字がn文字あったとして
それを割るのに必要なアタック回数は各々の文字を数字にするか英字にするかで
2^n 倍にしか増えない (仮に n=8 なら256 倍しか増えない)

1秒で割れるパスワードを割るのに 256秒かかるようになったところでうれしくないし
割るのに100年掛かるパスワードが25,600年かかるようになっても意味ない

数字入れるの強要するサイト多いけどあれ意味あるの
数字あると一気に覚えづらくなるんだけど