分かりやすい
皆がデータ少佐ならパスワードは毎日変えるべきである。(スタートレックのアンドロイド。)
Chrome ユーザーだと、「ブラウザに保存」が「Google パスワードマネージャーに保存」なんだけど、Google パスワードマネージャーのインフォスティーラー耐性ってどうなんだろう?
わかりやすい。ちゃんと(?)段階的詳細化で書いてある。この手の話題の時には「この記事読んでおくといいんじゃね」って渡せるやつだ。素晴らしい。(ただPasskeyとかの新しい技術についてはほぼ書いておらず補足は必要か)
「簡単な文字列にするくらいなら」「使い回すくらいなら」パスワードの定期的な変更の優先順位を下げても「複雑な文字列で」「使い回さない」運用のほうが効果的ということか。
はい。なので、専門的知識のある管理者などが他の対策をしている上でやるなら一定の有効性があるが、と言うことですぬ。
"変えた方がいいけれど、変えることを求めると、より深刻な別の問題が起きやすくなるので"この部分も変えたい論者を説得する論法だと思う。パスワードは変えるほど癖を特定しやすくなるからね。
クソ記事。認識が30年古い。こんな素人記事が未だに出回っているからフィッシング詐欺がなくならない。パスワードは自動生成されたものを初回にブラウザに保存するようにして、以降は絶対に手入力しないように。
パスワード(PW)を定期的に変えるのは面倒。手順を制定し自動的に変えるのはどうだろう。ユーザーに秘密鍵を渡しておいてホストは公開鍵を利用し暗号化したPWを定期的に配布。アプリはそれで自動ログインだ。←PK
昨今では、存在がまだ把握されていない脆弱性を突いた攻撃で、サービスの管理者が気付いていないけど攻撃を受けてしまっている「ゼロデイ攻撃」も多くなっている→https://www.iij.ad.jp/news/pressrelease/2025/0422-2.html
この記事をおすすめしました
パスワード管理ソフトを使う前提でダークウェブ監視で流出したものは変更するとかが良さそうではあるが
基本的にはBitwardenとかのパスワードマネージャーで自動生成したパスワードを管理して流出報告があったら変えればいいんじゃないの
セキュリティインシデントのときは変更するべき。その他は変更してもしなくてもいいが、変更しなければならないとするのはよくない
IIJは自社で啓蒙してTOTPアプリまでリリースしてるのに自社の個人、法人両方の会員に2要素認証させてないのバラバラ感がw 元々ベンチャーなので緩いのが良さでもあると思うけど…
「とにかく最重要事項が「使いまわさない」ことで、次が「複雑さ」。この際「変更」は一旦保留でいいです、というのが、現状の「定期的な変更は必要ありません」という説明です」
手入力すると偽サイトに入力してしまうリスクが。 なんで別に変えてもいいけど自分では管理しないことが大事。ブラウザ保存などのパスワードマネージャを使おう
今だとフィッシングのリスクが一番高いのでブラウザに覚えさせて自動入力させる、メール・SMSのリンクを開かずお気に入りから開く、パスキーが利用できるサイトならそれを利用するなどの対策をするのが一番大事だよな
ええ…IIJの人がこういう認識なんだ。こわ…
今はパスワードは定期的に流出するという前提に立ったほうが良い。つまり定期的な変更は必要。そうすれば流出後の被害は抑えられる。「複雑なものを一度設定して使い回ししなければ良い」から一歩進んだ感がある
パスワード変えるほど覚えるのがしんどくなってそのしんどさを回避するために簡易なものに無意識によるから人の頭で考えて覚えるなら最初に強固なの考えて変えない方が「まだマシ」ベストは人の頭で考えず覚えない
『使いまわさない』『複雑なパスワード』に加えて『偽フォームに入力しない』を徹底する。そして、こんな機械作業を人力でやる必要はない。定期的な変更は*破られていたら*有効な対策だけれども…
ブラウザに自動生成させるのを前提として、定期的に変えることでセキュアなハッシュにアップデートされそうなので悪くはなさそう。しないけど。
「ブラウザにはパスワードを保存させるな」って時点で大多数の人がアウトになるのでは
トップコメの「パスワード自動生成してブラウザに保存」はスマホのアプリ経由でログインする際に詰むと思うんだけど。
“効率的で攻撃を受けにくい、自分なりの運用方法を考えておく必要がありますね”酷いまとめ。他のブコメにあるように誰もが機械的に設定できる手順を推奨すべき。運営側が漏洩させたら被害を運営側に請求すればいい
ロジカルには1秒毎に複雑なパスワードに変えた方が破られにくくなるのに決まってるので、バランスの問題としか。
「変えないべき?」じゃないというだけで好感持っちゃった…(笑)。
1passwordなどに課金が1番。家族と共有しておくべきパスワードも多いし。
パスワードを自動生成してブラウザに保存してもフィッシングには引っかかるよね。記事の通り「使いまわさない」と「複雑なパスワード」で、Chromeに保存したら流出時Googleが教えてくれるので、その時に変えればいい。
当然そうした議論があって然るべきと思うので、失礼ながらNISCとNISCの意向を右から左に流すだけのCSIRTは脳死状態に思える…
僕は定期的に変えるようにしてたら、変えたすぐ後に交通事故に遭って、新しいパスワードを思い出せなくなり、初期化するハメに(結果、データは全部パー…)
パスワード自動生成でドーン!ってやりたいんだけど、「パスワードは12文字までです」とか「使用できない文字が含まれています」とかで、ア、イッス…ってなっちゃうんだよね
IIJの人がこの認識であることには、昨今の参政党がらみのあれこれよりもゲンナリ感がある。
「パスワードは定期的に変えるべき? 変えない方がいい?」掘り下げると長くなるネットの疑問~IIJに聞きました【掘り下げると長くなるネットの疑問】
分かりやすい
皆がデータ少佐ならパスワードは毎日変えるべきである。(スタートレックのアンドロイド。)
Chrome ユーザーだと、「ブラウザに保存」が「Google パスワードマネージャーに保存」なんだけど、Google パスワードマネージャーのインフォスティーラー耐性ってどうなんだろう?
わかりやすい。ちゃんと(?)段階的詳細化で書いてある。この手の話題の時には「この記事読んでおくといいんじゃね」って渡せるやつだ。素晴らしい。(ただPasskeyとかの新しい技術についてはほぼ書いておらず補足は必要か)
「簡単な文字列にするくらいなら」「使い回すくらいなら」パスワードの定期的な変更の優先順位を下げても「複雑な文字列で」「使い回さない」運用のほうが効果的ということか。
はい。なので、専門的知識のある管理者などが他の対策をしている上でやるなら一定の有効性があるが、と言うことですぬ。
"変えた方がいいけれど、変えることを求めると、より深刻な別の問題が起きやすくなるので"この部分も変えたい論者を説得する論法だと思う。パスワードは変えるほど癖を特定しやすくなるからね。
クソ記事。認識が30年古い。こんな素人記事が未だに出回っているからフィッシング詐欺がなくならない。パスワードは自動生成されたものを初回にブラウザに保存するようにして、以降は絶対に手入力しないように。
パスワード(PW)を定期的に変えるのは面倒。手順を制定し自動的に変えるのはどうだろう。ユーザーに秘密鍵を渡しておいてホストは公開鍵を利用し暗号化したPWを定期的に配布。アプリはそれで自動ログインだ。←PK
昨今では、存在がまだ把握されていない脆弱性を突いた攻撃で、サービスの管理者が気付いていないけど攻撃を受けてしまっている「ゼロデイ攻撃」も多くなっている→https://www.iij.ad.jp/news/pressrelease/2025/0422-2.html
この記事をおすすめしました
パスワード管理ソフトを使う前提でダークウェブ監視で流出したものは変更するとかが良さそうではあるが
基本的にはBitwardenとかのパスワードマネージャーで自動生成したパスワードを管理して流出報告があったら変えればいいんじゃないの
セキュリティインシデントのときは変更するべき。その他は変更してもしなくてもいいが、変更しなければならないとするのはよくない
IIJは自社で啓蒙してTOTPアプリまでリリースしてるのに自社の個人、法人両方の会員に2要素認証させてないのバラバラ感がw 元々ベンチャーなので緩いのが良さでもあると思うけど…
「とにかく最重要事項が「使いまわさない」ことで、次が「複雑さ」。この際「変更」は一旦保留でいいです、というのが、現状の「定期的な変更は必要ありません」という説明です」
手入力すると偽サイトに入力してしまうリスクが。 なんで別に変えてもいいけど自分では管理しないことが大事。ブラウザ保存などのパスワードマネージャを使おう
今だとフィッシングのリスクが一番高いのでブラウザに覚えさせて自動入力させる、メール・SMSのリンクを開かずお気に入りから開く、パスキーが利用できるサイトならそれを利用するなどの対策をするのが一番大事だよな
ええ…IIJの人がこういう認識なんだ。こわ…
今はパスワードは定期的に流出するという前提に立ったほうが良い。つまり定期的な変更は必要。そうすれば流出後の被害は抑えられる。「複雑なものを一度設定して使い回ししなければ良い」から一歩進んだ感がある
パスワード変えるほど覚えるのがしんどくなってそのしんどさを回避するために簡易なものに無意識によるから人の頭で考えて覚えるなら最初に強固なの考えて変えない方が「まだマシ」ベストは人の頭で考えず覚えない
『使いまわさない』『複雑なパスワード』に加えて『偽フォームに入力しない』を徹底する。そして、こんな機械作業を人力でやる必要はない。定期的な変更は*破られていたら*有効な対策だけれども…
ブラウザに自動生成させるのを前提として、定期的に変えることでセキュアなハッシュにアップデートされそうなので悪くはなさそう。しないけど。
「ブラウザにはパスワードを保存させるな」って時点で大多数の人がアウトになるのでは
トップコメの「パスワード自動生成してブラウザに保存」はスマホのアプリ経由でログインする際に詰むと思うんだけど。
“効率的で攻撃を受けにくい、自分なりの運用方法を考えておく必要がありますね”酷いまとめ。他のブコメにあるように誰もが機械的に設定できる手順を推奨すべき。運営側が漏洩させたら被害を運営側に請求すればいい
ロジカルには1秒毎に複雑なパスワードに変えた方が破られにくくなるのに決まってるので、バランスの問題としか。
「変えないべき?」じゃないというだけで好感持っちゃった…(笑)。
1passwordなどに課金が1番。家族と共有しておくべきパスワードも多いし。
パスワードを自動生成してブラウザに保存してもフィッシングには引っかかるよね。記事の通り「使いまわさない」と「複雑なパスワード」で、Chromeに保存したら流出時Googleが教えてくれるので、その時に変えればいい。
当然そうした議論があって然るべきと思うので、失礼ながらNISCとNISCの意向を右から左に流すだけのCSIRTは脳死状態に思える…
僕は定期的に変えるようにしてたら、変えたすぐ後に交通事故に遭って、新しいパスワードを思い出せなくなり、初期化するハメに(結果、データは全部パー…)
パスワード自動生成でドーン!ってやりたいんだけど、「パスワードは12文字までです」とか「使用できない文字が含まれています」とかで、ア、イッス…ってなっちゃうんだよね
IIJの人がこの認識であることには、昨今の参政党がらみのあれこれよりもゲンナリ感がある。