セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ!」→炎上
■ このスレッドは過去ログ倉庫に格納されています
インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。
話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。
社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。
この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。
たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。
また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。
http://news.livedoor.com/article/detail/14579258/ 何度も変えるとパスワードが単純化されていくから
それだと変える意味がないよって事なのに
変えること自体が意味が無いって風潮になってるな 敢えてパスワードを覚えずに毎回初期化してもらうという手法 >407 人間を相手にしているか、知識だけで論じてるかの違い。 そんなに重要なシステムなら、パスワード止めて静脈やらICカードやら使えばって感じだ。
イニシャル高いけど、月一回全社員パスワード変える手間考えれば、ランニングコストで回収できるやろ。 10文字以上で大文字小文字数字記号のうち4種の内から3種以上使用してパスワード設定
3ヶ月に1度変更
めんどくせーから固定の文字+@+変更した年月で設定してる >>406
それかなり以前からの常識なんだが
あらゆる間違いが未だに常識として運用されている
権威側の意見や常識的なモノはもう一度徹底的に考え直せ 最近アナログ保存が実は最強なんじゃないかと思えてきた >>158
ピースサインした写真とかあったらヤバい >>407
単純化されていくならそれは意味がないと一緒じゃん >>413
いや、定期変更を禁止したらダメだろう。
定期変更を強制することを禁止な。やりたい人は毎月でも定期変更すれば良いけど、定期変更しないとシステムが使用できなくなるとかはやめましょうという話。 「パスワード」なんて脆弱すぎるから2段階認証必須にして、そもそもフェデレーションなんかで認証の機会自体を減らす方向に向かってる。
その流れに逆行して各個人にセキュリティ対策押し付けてたら、余計な作業や負担増えて国内産業は益々死んでいくねぇ。マジで、今の管理職はちゃんと知識つけて産業発展する方向に導いてくれよ… うちも大小英数字13桁、毎月変更やららせる
正直面倒だ アメリカが今は死ぬことがトレンドですって言ったら死ぬんですか? >>292
俺「今夜"も"だろ?d(ゝω・´○)」 >>1
未だにパスワードを頻繁に変更した方がセキュリティ向上につながると思ってる馬鹿がいるんだな 英数字記号大文字小文字の定期変更にどれも意味なかったわ、ゴメンちょってのが最近の流れなのに、
セキュリティ担当なんて生産性下げてく事しか考えてないからバカになるんだな A01○○○
A02○○○
・
・
A06○○○
以降スタートに戻る
これで行ってる >>389
パスワード入力時にはFEPは使用しないのでは?
まあ、スマホやタブレットは知らんが・・・ パスワードを定期的に変更するということが間違い。
既に、定期的な変更を強制してはいけないという基準が世界標準。
まあ、お前らには読めないだろうけど、経典を教えてあげるよ。
https://pages.nist.gov/800-63-3/sp800-63b.html 生体認証とワンタイムキーを発行できるハードを支給しなさい そんなに気になるなら生体認証なりなんなり導入すりゃいいだけ 先日、アウトレットの会社からパスワードとメアド流出のお詫びメールがきたわ
文章としては分かりにくい、非を認めたくないんだなあという印象だったけど
こんなんが一番めちゃくちゃ悔しいわ まあ新宿古着屋ワタナベが覗いていますからねダイバクショウ しょっちゅう変えるようにすると簡単なパスワードしか使わなくなるからむしろダメなんだってな
定期的に変える事で、防げる問題と防げない問題があるからな
会社支給のPCのログイン程度なら、覚えられるパスワードや月一変更でもいいけど、
例えば企業のCMSログインとかになると、覚えられるようなパスワードには設定しない
(ランダムな英数字+記号)
それでも退職者などの不正アクセスを防ぐためには変更も余儀ない 好きな歌のフレーズをローマ字化してそれを単語の頭だけ繋げるとかすればまずわからないだろ
ただし、どの曲のどの部分か忘れたらお終い >>357
辞書検索されること前提でも、単純に長いパスワード(パスフレーズ)は組み合わせ個数が爆発的に増加するので強くなる
数万語 ** 5とか数万語 ** 10とか総当り不可能 海外のテレビ番組で指紋認証を偽造しようとして
色んな技術者が型とってシリコンで指作ったり色々試したけど全部駄目だった
最後に駄目もとでインクつけて指紋つけた紙を機械にかざしたら認証されたってのがあったな >>383
システムというか会社によるな
うちはちゃんとフローがあって確認後じゃないと送れなかった >>424
アンタパスワード漏れてるのに気づかない場合は定期変更する意味あるって行ってるけど、漏れてるのに気づかない時点で変えても漏れるんですけど。
貴方のような個人の屁理屈でブーブー言ってるだけの人が一番迷惑です。考えを改めましょう。 >>442
本末転倒のような
センサーは静電容量式が多いだろうから >>445
だいぶ前の番組っぽかったからなぁ
昔はスキャナみたいに光当てて陰影撮ってたから可能だったんだろうと思う
今のスマホみたいな読み取りセンサーだと無理だろうな どんなパスつかっててもクロームに抜かれてる気しかしない >>414
代理作業で自分のパスワードでログインさせた場合、その代理の人はパスワード覚えてればいつでもログインできるけど、
パスワード変更すれば以降はログインできないでしょ。
漏れ方によってはソウカモシレナイ場合もあるけどそうじゃない場合もあるし、何もやらないよりマシでしょ。
>>447
パスワード記憶させたりしてないよね 2つのパスワードを交互に変更できるザルシステムとか、ポリシーで過去分は使えないとかできるやん
>>450
履歴3回とかすると、クライアントが「使いづらい!」と文句言うので1回になったりする
技術的な問題と運営的な問題は別 もう、アプリダウンロードしてワンタイムパスとかにしてほしい 小6から27歳までずっと同じパスワード色々なサービスで使ってるけど1回も垢ハクされたことないわ 月一とか短い期間になると前のパスワード+連番みたいな
安易で覚えやすいもんになりがちだからあんまり意味ないと思うわ うちの会社は3ヶ月更新しないとパスワードが強制停止になるので、変更期限を忘れないようpassの最終更新日年月日+自分のpassにしてる。
180417hentai みたいな感じで。 ■ このスレッドは過去ログ倉庫に格納されています