インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、セキュリティ担当者が怒りの投稿、炎上ぎみの騒ぎを起こしているという。
話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。
社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を正常にできるだろうか」とアドバイスを求めたのだった。
この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の仕事ではないか」と、猛反発する声が大半。
また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
http://news.livedoor.com/article/detail/14579258/
パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる
そもそも覚えられるパスワードは安全ではない
>>5
英数記号16桁は手が覚える
おそらく24桁も行ける
8桁の組み合わせだと思えば意外とちょろい
パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ
月一で変更とかセキュリティ担当の責任回避が目的だろ
この手の奴がパスワードマネージャーはじくフォーム作るんだろうか
パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。
>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話
>>19
漏れたら変えればよいって、漏れたことに気づいてない場合はどうするの?
パスワード変えなければ時間かけてゆっくり悪さされない?何かのファイルログインしてコピーしてもってかれたりとか。
>>20
だからパスワードなんて不安定なものじゃなく
生体認証やカード認証など、第三者には利用しにくいものが採用され始めてる
パスワードを使わざるを得ないものは確かに、人為的に漏れる場合があるので、
・人間が平文パスワードを脳内以外で管理しないようにする
・システム管理者で、共通パスワードを使わざるを得ない場合は、担当者に変更があった時に変える
などということを守る方が賢明
パスワード変更は意味がないって主張どういう根拠で言ってるんだ?
>>13
8桁パスワードで考えた場合
10年間変えず破られる確率と
毎秒変えて破られる確率の差
0.000001% だから
ソースは日経コンピュータ2014年10.16号
>>18
人為的なミスで意図せず漏れる事が無かった場合の確率ということだよね。たぶん。
頻繁に入力するパスワードなら覚えられるけどな
この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ
入り口はカードロックあるんだから、社外ログインさえはじけばパスワード変更なんか要らんと思うがなあ
情シって暇なんだろうな自分らで仕事作り出して人の邪魔する部門
>>29
本当に恐ろしいのは内部犯よ
人事情報を覗きたい。役職者になりすましてメール送信
誤発注で嫌いな奴を失脚etc...etc...
ログは残るかもしれんが記録にある人間と操作した人間が同じと証明するにはどうする?
監視カメラか?それはそれで別問題に発展するが
>>51
そんな妄想に対応するためにセキュリティやってんのかよw
だからさー出入口のカードログでPCの持ち主は席に居ないの分かるだろー?w
>>64
さすがに危機意識低すぎ
>>64
妄想もクソも実際の事例としてゴロゴロしとるが
セキュリティ皆無にしたら氾濫するだろな
今日から業務効率優先でログ取りませんー認証も不要ですーインターネットから社内システムに直で繋げられますーってか
アホアホの極みやな
そもそもパスワードを求められる場面が多すぎて
それぞれ違ったパスワードを月一で変更とか狂気でしかない
会社のPC(個人×1、店舗×2)、自宅のPC、スマホの起動パスワード
社内メール、社外メール、数値分析ソフト、各種電子申請用ソフト、商品発注システム、備品発注システム、作業用PDA端末ログイン
各種SNSアカウント、Amazonや動画音楽Webサービス
定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの?
>>35
お漏らしした時点で致命傷だから関係ないよw
>>35
だから定期的にパスワードを変更することはなんらリスク低減にはならん
むしろそのリスクを増すというのが最近の潮流だって
変えてセキュリティー効果上がる以上にユーザーが忘れるリスクがデカい
机上の空論でしかない
定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな
パスワードの変更に効果はないよ今のセキュリティの常識
結局人が管理するから規則性が生まれるしランダムな文字列は覚えられない
いつの時代の話ししてんだか
漏洩対策なら1ヶ月毎の変更じゃ意味ないだろ
その目的なら1分毎に変えろ
漏れたらいうけど
漏れたらすぐにデータ見られるんだから
そのあと変えたところであんま変わらん気がするわ
ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ
発言小町だろ?女にパスワード覚えられるかよ?そりゃ発狂するわ
うちは去年まで1ヶ月ごとだったけど今年から3ヶ月ごとになって楽になった
まぁPCログインとメールとメイン業務ソフトと顧客DBと勤怠管理で
毎日5つもIDとパスワード打たなきゃならんけど
いや、もうパスワード変えるのは古いからw
1ヶ月って10年前の知識かよ
パスワード認証の生みの親が
この方法はもうダメぽ
って言ってたからな
複数の長いパスワードは凡人の脳では管理できん
パスワード月イチ変更はアメリカのセキュリティ専門家が言い出して政府機関の標準に採用されて広まったんだがあれは誤りだったって何年も前に改められている
>>90>>91
たぶんそういう歴史的な背景とかも知らないんだろうな
勉強不足だよ
10文字くらいで頻繁に変えるくらいなら20文字のをずっと使うわ。
漏れたらそん時考える。不審なアクセスあると警告してくれる所多いしな
一分でも侵入許したらバックドア仕掛けられて
それ以降、パスワード何回変えてもやりたい放題される
結局、パスワードを複雑化してもどこかに今のパスワードを書いたメモを置くだけなんだよなぁ
ソーシャルハッキングの温床にしかならないわ
パスワードの変更なんてセキュリティ的になんか意味あると思えないんだが
それより怪しいサイトを利用しないとか
変なURL踏まないとか
メモで見えるところにはっておかないとか
そっちの方が大事な気がするわ
変える事で覚えずにメモそこら辺にある方がよっぽどあぶねえよ
下手に簡単なパスが使われるなら、定期的な変更は推奨しない方針にNISTのガイドラインも変わったからねえ
流出させないこと
他人が推測できないこと
機械の総当たりに当たらないこと
漏れた気がしたら変更すること
が重要で何日毎に変えろって全く意味がない
元スレ: http://hayabusa3.2ch.sc/test/read.cgi/news/1523725708/
