セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ!」→炎上
■ このスレッドは過去ログ倉庫に格納されています
インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。
話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。
社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。
この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。
たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。
また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。
http://news.livedoor.com/article/detail/14579258/ >>305
パスワードは普通どこにも保存されてない >>298
月1のレポートで傾向みてtop10のユーザに警告だしてる パスワード月1で変えるってのは有能集団なら可能なのかな パスワードより物理認証キーでいいんじゃねーの?と思うけど
一括管理できていいだろうに。紛失したら罰金再発行で >>295
月のメンマ代が3万円なのは仕方ないだろ >>298
基本的に何か問題ない限りは見ない。
アクセスログは禁止サイトへの閾値越えたときのみ確認。 >>306
どこにも保存されてないなら入力して突合する意味ないだろ
厳密には暗号化されたものが保存されてると思うが >>313
暗号化というかハッシュしかない
ハッシュからパスワードは取れない
つまりパスワードは保存されてない windows内部に保存された各種パスワードなんてツール使うと復元できちゃうけどね >>5
簡単だよ
日本語の単語や熟語をローマ字読みしたものを3つ4つつなげればいい
文字種を増やすことによる複雑さよりも、十分な文字列長を確保することが大事 パスワードの定期変更はかえって危険という議論は以前からあるし、
最近、総務省からパスワードの定期変更はするな
https://m.srad.jp/story/18/03/27/0431206
というお達しが出たので、
それを踏まえて、燃料投下すれば釣れると踏んだ小町職人の技 役所や中央省庁って一番ザルで、例えば業務上の要請で同僚に自分のパスワード教えてログインして作業させて、
パスワード変えない為にその同僚がなりすましログインで悪さして問題になって、やっぱりパスワード定期的に変えるべきって流れにいずれなるはず。
役人や中央省庁の連中って結構馬鹿だから、いずれ普通に起こると思うよ。 定期的に変えさせると
パスワードのメモを机に張り付けるやつが出てくる 毎月複雑なパスワード変更をしても、ガチでパスワード破りチャレンジされたら大抵終わるし
逆にパスワード破りされなかったら、パスワードは常に同じで問題ない
ピッキングに怯えて、家の鍵を毎月交換してんの?
「凄腕の空き巣なら簡単にカギを突破できるから!」←じゃぁ頑張ってもムダじゃんw >>104
その通り
パスワードの定期的な変更を強制すると、使いまわしにつながるという、人為的な問題を引き起こすって話 >>104
自社のシステムが堅牢かどうかはちょっとはうたがったほうがいいわ >>322
定期的なパスワード変更のセキュリティーより>>318みたいな利用者の問題による大きなインシデントが発生する可能性の方が高いと思うな。 >>318
定期変更には戻らないよ
パスワード自体が使われなくなる 態々パスワードを忘れる可能性を高めてから端末をロックさせてシステム担当者を捲き込んでいくスタイル >>322
>>>13
>「パスワードは定期的に変更してはいけない」 --米政府
世界中のパスワード破りまくるシステムを持ってて、そのシステムの負荷を下げるためにこのような情報をリークしている、と考えられなくもない >>318
社会保障などの個人情報とか役所の人間をギャンブルやハニトラで取り込むのが確実なハッキングだよね 月イチに対応できないとか下手なニートより頭悪いよな 「1か月に1回パスワード変更」がルールなら従えよ
文句があるなら、キレてないでルール変えるように動け 変えることより他と別のパスワード使ってるかどうかだな。 まぁでも10年前に比べると、だいぶセキュリティ意識は向上したよ。年1の社員講習やったって意味ないかと思ったけどそんなことはないね。
昔は誰の許可もなくやばい情報満載のPC持ち出してたし、違う取引先にメール誤送信しても笑い話で済んでた こういう アホが企業に余計な混乱を
与えている
意識低くてプライド高くてどーしようもない(;^ω^) 一つのパスワードならまだしも各システムで10個位あんのにそんなもん覚えられるかよ、駄目だと言われても100%全員どっかにメモってるな 毎度ワンタイムパス払い出すくらいの気合を見せてみろや
承認に忙殺される管理職の悲鳴が聞きたい クルマでも道交法守れない輩ばっかだろ?
殆どはモラル低くて頭が悪い愚民なんだよ >>5
>>37
>>316
パスワードを数式にして100ポイント以上一致にすればいい
どんなにアタックしてもほぼ解析不能 自分の携帯番号さえ覚えて無い奴にキレてもしゃーないでw >>12
漏れること自体か致命傷。
致命傷で済んだニダと笑ってられるのは朝鮮人だけ。 >>342
パスワードの解析不能性として2バイトでなく思い切って可変バイトにする
それも個人個人でキーマップ定義できるように >>279
こういうダウンロードのパスワードみたいにマルチバイト文字通すようにして日本語でパスワードつかえばセキュリティあがるよな。 めんどくさいから指紋認証とか顔認証にしてくれよ
そんなコストかからんだろ >>355
だから漏れることを想定しないってどうなのって話してるじゃないですか。東電の原発事故から学んでください。 顧客には漏れたらやばい情報は社内システムに入れるなっていってある 自分のアタマで考えず、トレンドだからとかアメリカのえらい人や権威が言ってるからとか、変だと思わないのかな。何でそんな程度のリテラシーの人が偉そうにしてるんだろう。 個人で色々なサービスで
メールアドレス:パスワード
を使い回す方が問題やね
一個漏れると、全部もれる >>291 >>294
危険なのは分かってるんだけどさ
プログラムでランダム生成されたのを定期変更しろってなって
それでやむを得ずそういう対応してるんだよ >>270
パスワード解析は辞書検索もするから
実際の強度としては大したことにならなそうだけどな 考えるのと覚えるのがめんどくさいから、名前+年月にしてるわ。
入力はだいたいUWSCで自動入力。 >>357
パスワードのフォーマットを変えるべきだな
なぜいつまでも平文テキストか 全世界からお金めがけて突撃してくるビットコインの取引所とか開発してるやつすごいよな
いろんなとこでやられてるけど絶対やりたくないわ パスワードを変えて実際助かるには、
アタッカーがパスワードを変更して何度もアタックして来る事。
同じパスワードでのアタックは行わない事。
変更後のパスワードが、既にアタックで使用されたもの。
じゃないと全く意味ないと思う。 >>355
まともなサイトならパスワードを平文で保存することはない(漏れても使えない)
パスワード教えてくれるサイトはアウト >>364
パスワードの定期変更は平文で漏れたことを想定したもの
クラックは想定外
そもそもパスワードを平文で保存してる前提がおかしい >>283
必須じゃないのもある
PKI認証というICチップ使った認証
あと、生体認証 >>330
今回は総務省も発表したからいいけど
日本政府とかそれに準じた組織が発令しない限り、日経〇〇に載ってたり、アメリカの国際的機関の発表だったりしても、「知らんがな」という頭の固い人間もいるから。
こっちが何伝えてもシカトされる。
改善提案しても、よくわかってない上層部が「セキュリティの担当者がいうんだから従って」とか言い出して速攻で棄却扱いされる。
酷いと、それで事故起きたら君責任取れるの?とか言われて、会議すら開いて貰えないかもね。
社員みんなパスワード定期変更してるわ〜俺それをさせてるわ〜って自己満に浸りたいんだろうが、愚の骨頂 >>369
まさに日本的
まあ決定権を専門家第一でやらないせいだね
結局経営無能と言われるのは能力ないのにできると言い張るからだな メールの添付ファイルパスワードを別のメールで送る風習はどこから来たんだろうか。
ものすごく意味ないものに感じる。 おっさんシス管あるある。
こういう事しつこく強要するくせに、
メンテ用のパスワードはすべて共通で
しかも簡単だったりする。 >>371
送信間違った系ポカ対応でしょそれ
パスワードは直ぐでなく遅れて出すになってると思う >>371
メールは元々平文だったのとSSLになっても中継されるサーバーでは丸見えだから >>365
漏れるのはサイトからじゃなくてフィッシングからだから。 総務省がパスワード変えるなって声明出しただろ
知らないとか意識低すぎじゃない? ツイッター、勝手にログインされていると思ってたらツイッターのシステムがおかしいだけだった
正しい地域が表示されてそれで分かった
とんでもない地域からログインされているという表示、直せんのか? 大体3回間違えたら初期化しないといけないって、セキュリティ設計が間違っているw じゃあパスワード変更しなかったために発生したインシデントは総務省の責任にして良いの? >>380
1%の確率で漏れる手段と、0.5%の確率で漏れる手段
どちらかと言えば後者を推奨します、ってだけの話で、パスワード変えなきゃ漏れないなんて誰もそんなこと言ってないぞ >>374
普通パスワードメールも直後に送るし、間違いに気付くんだろうか。
>>375
パスワードも丸見えだよね。盗み見るつもりなら両方見ると思うが。
中継サーバはメール毎に違うとか? ぶっちゃけログインパスワードなんて変えないでいいだろ
ネットに関わる部分だけ気をつければいい パスワード定期変更のほうがリスク高いのが今の常識なのに あんまりパスワードころころ変えると覚えやすいのばかりになって却ってダメになるってどこかのセキュリティソフト会社が もう指紋認証の業務用スマホでワンタイムパスワードでいいんじゃね >>357
だからあえてローマ字で書くといいかと
kare-
curry
だったら上の方が解析しにくいかなと
クレジットカードのサインをあえてひらがなにするという話があった。
中国人は漢字は書けるけどひらがなは知らないからと
curryは世界中の人がわかるけどkare-が載ってる辞書は無いと思うわ >>388
そう言うことじゃなくて
FEPの中の辞書に登録されるって意味かと >>25
まあでも漏れるのとログインされるリスク含めて変えたときと変えないときとで破られる確率同じってことなんだろうな
管理者がもしものとき余計に上から怒られないようにしてるのが一番だろ パスワード貼り付けてるって馬鹿にされるけど電子保管したり手帳に書いて持ち出すよりよっぽどマシじゃね キャッシュカードだって指紋認証なんだから
パスワードなんて廃止していいだろ 社内システムなら社員証を通さないといけないようにしとけば カード認証+生体認証+文字認証(ソフトキーボード入力)が有用かな。
利用者の記憶に頼るやつはろくな結果を生まない。 パスワードの敵は誰か?
敵が会社内にいる想定なのか?
会社外のハッカーなのか?
それによって、かわってくる。 >パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なもの
えっ?
これって効果ないって随分前から言われてるけどまだ信じてるやついんの? どんな複雑で短期間のパスワードだって、覗き見(盗撮カメラ)されたら、
PCにパスワード貼ってる事と同じだわ。
PC机に誰でも近づける状況ならパスワードなんて無意味。
複製困難な物理的な鍵、FeliCa機能付きの社員証等の方が100倍簡単で安全だわ。 普通に指紋認証なり網膜、静脈等々生体認証にすりゃよいべ 最近の流れだから変えなくてよいはそれはそれで違和感 >>398
生体認証は変更ができないことと、データ量が少ないのでICカードより偽造リスクが高い。
なので最近はICチップ埋め込みなんて物騒な話が出てきてる。 >>25
そうすると今度は簡単なパスワードの使い回しとかが増えて
逆に漏洩するリスクが高まるんで
だから最初に複雑なパスワードを決めておくほうが
相対的にリスクが低くなるって話 >>399
馬鹿に合わせるのも大変だよな
見出しだけ見て、定期変更はNGと決める馬鹿がわんさか湧くだろう
Twitterで文句だけ言う目立ちたがりのセキュリティ権威wも同罪 パスワードの定期変更は意味ないというのが最近の常識だよね パスワードの複雑さよりも単語を沢山羅列した長いパスフレーズにした方が良いとされてきているな ■ このスレッドは過去ログ倉庫に格納されています