実際のパスワードが記述された脅迫メールが登場。パスワード変更不要説は崩壊か? 2
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
情報元へのリンク
NISTの文書「800-63B」の「5.1.1.2. Memorized Secret Verifiers」によれば、パスワードの定期的な変更をユーザーに要求すべきでないということで、ある時、ネット上で支持の声が溢れましたが、それだと上記のような攻撃に対処できないと思います。パスワードを変更していなかったら、脅迫メールを送る悪意のある人がその変更されていない有効なパスワードを使って悪いことをすることになります。
それでも、パスワードは変更しなくてよいのでしょうか?上記のニュースを読むと、やっぱりパスワードは定期的な変更をしたほうが良いと私は思います。
引用「メールは、金銭を支払うよう脅迫する、いわゆるスパムメールに分類されるものですが、特徴として、メール受信者が実際に使用しているパスワードが本文に記述されており、」
仮想通貨を要求する不審な脅迫メールについて
https://www.jpcert.or.jp/newsflash/2018080201.html
情報元へのリンク
変更不要説なんてあったっけ (スコア:1)
定期変更強制害悪説ならあったけど
Re:変更不要説なんてあったっけ (スコア:2)
はい、少なくともNISTのガイドラインには、「パスワードは変更しなくてよい」なんて趣旨のことは書かれていないですね。