セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ!」→炎上
■ このスレッドは過去ログ倉庫に格納されています
インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。
話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。
社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。
この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。
たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。
また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。
http://news.livedoor.com/article/detail/14579258/ > 話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
終了 パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる アホ「パスワード忘れたんで教えてください」
管理者の俺「いや、俺も知らない」 パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ 月一で変更とかセキュリティ担当の責任回避が目的だろ 俺が使ってる法人向けネットバンキングは3カ月毎に2種類のパスワードを変更しないといけない
しかも過去に使ったパスワードは不可だから紙にメモして残してる
さらにワンタイムパスワードも必要だからめんどくさい この手の奴がパスワードマネージャーはじくフォーム作るんだろうか パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。 パスワード変更は意味がないって主張どういう根拠で言ってるんだ? >>1
> パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
これも、提言してた人が
ほとんど意味なかったわ。桁数が多い方がいいわ。
って言ってなかったっけ yamada0724545menma@3manen
こんなかんじで長いの作ればいい 頻繁に入力するパスワードなら覚えられるけどな
この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ >>13
8桁パスワードで考えた場合
10年間変えず破られる確率と
毎秒変えて破られる確率の差
0.000001% だから
ソースは日経コンピュータ2014年10.16号 >>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話 >>18
人為的なミスで意図せず漏れる事が無かった場合の確率ということだよね。たぶん。
>>19
漏れたら変えればよいって、漏れたことに気づいてない場合はどうするの?
パスワード変えなければ時間かけてゆっくり悪さされない?何かのファイルログインしてコピーしてもってかれたりとか。 >>16
どこに毎日使うシステムって書いてあるよ?
ログインだから毎日?
じゃあおめー、今まで作ったログインするシステム、フリーメールやプロバイダメールとか、ヤフーや楽天やアマゾン、毎日全部手動でログインしてるのかよ? パスワード変えなければ気づかないまま漏れたパスワードで悪さをされ放題だけど、定期的なパスワード変更してれば、そのパスワード変更以降は少なくとも悪さされないじゃない。 祗園精舎の鐘の声諸行無常の響きあり・・・・・ってパスワード入れると長いって怒られるところがある。
長くて憶えやすいのがいいと思うんだけど。 >>22
そう、気づけないからこそ定期的にパスワード変更して、悪される期間を短くするようにするべきだと思うんです。 >>21
じゃあ毎日使うログインパスワードなんかは変える意味はあるということで良いですか? 漏れて不正アクセスされた時点でアウトだから無意味だよw
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか?w アクセスされた痕跡確認の方が大事なんじゃねーのかな 入り口はカードロックあるんだから、社外ログインさえはじけばパスワード変更なんか要らんと思うがなあ
情シって暇なんだろうな自分らで仕事作り出して人の邪魔する部門 そもそもパスワードを求められる場面が多すぎて
それぞれ違ったパスワードを月一で変更とか狂気でしかない
会社のPC(個人×1、店舗×2)、自宅のPC、スマホの起動パスワード
社内メール、社外メール、数値分析ソフト、各種電子申請用ソフト、商品発注システム、備品発注システム、作業用PDA端末ログイン
各種SNSアカウント、Amazonや動画音楽Webサービス パスワードって今時いろんな場所で設定求められるから根幹語彙に数字つけ足したり位置変えるだけになるんよね(´・ω・`)
大幅に変えると覚えられへんし1を2とか3にしていくだけになる(´・ω・`)
定期変更わ無意味(´・ω・`) >>27
何か盗まれるとかそんな分かりやすいものじゃなくて、社内の機密情報閲覧され続けるって可能性もあるじゃない。 >>23
毎月パスワード変えれなんて言われたら普通は面倒臭いから適当なパスワード設定するだろ
tanaka001→tanaka002→tanaka003 みたいね
そんなヌルいパスワード設定される位ならきっちりした英語大文字小文字数字混じりのパスワードをずっと使ってもらう方が破られずらいってことよ
パスワード流出した場合はtanaka003とかなら正解パスワードすぐに推測されるし >>32
社内の機密情報(笑)の場合、全員が一斉に変える訳では無いのだから「定期的に買えても」他の誰かがいるw
そもそも、不正アクセスに気づかず情報抜かれ放題な時点でアウトだwww 定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの? 変えてセキュリティー効果上がる以上にユーザーが忘れるリスクがデカい
机上の空論でしかない >>5
英数記号16桁は手が覚える
おそらく24桁も行ける
8桁の組み合わせだと思えば意外とちょろい >>33
というか、今時のシステムだと数字一つ変えたくらいだと前のパスワードと似てますって警告出て変更できなくない?
結構古いシステム使ってます? >>35
セキュリティーは使う側に合わせるのが仕事だよ >>20
だからパスワードなんて不安定なものじゃなく
生体認証やカード認証など、第三者には利用しにくいものが採用され始めてる
パスワードを使わざるを得ないものは確かに、人為的に漏れる場合があるので、
・人間が平文パスワードを脳内以外で管理しないようにする
・システム管理者で、共通パスワードを使わざるを得ない場合は、担当者に変更があった時に変える
などということを守る方が賢明 >>38
前のパスワードと似てると指摘できるってことは
パスワードは暗号化されず平文で保存されてるのかね?
そっちのほうが危なくね? × 定期的なパスワード変更は意味が無い
○ 定期的なパスワード変更を強制するとユーザーが破られやすい簡単なパスワードやほかのサービスと共通のパスワードを使いまわすことが多くなり総体としての安全性向上にならない
・パスワードの使い回しは絶対にやめましょう
・類推や総当たりで破られにくくするためになるべく複雑で十分な長さのパスワードを使いましょう 特に長さはちょい手間の割に有効
・当たり前だけど流出した可能性があるパスワードはできるだけ早く変更しましょう >>32
パスワードだけじゃなく社外からの不正アクセス検知機構とか、
パスワード漏れた場合にすぐ判別出来る仕組みとか、
関係者以外が必要以上の機密情報にアクセス出来ない仕組みとか、
情報漏れたときにすぐに把握出来る仕組みとかで多重構造的に守る仕組みが必要ってのが今のセキュリティーのあり方らしいぞ 定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな >>38
そんな機能なんて不満の方が多いからもう廃止されたよ >>35
お漏らしした時点で致命傷だから関係ないよw 一々新しいパスワードを自分で作って覚えて入力云々
一連の動作に妙にほとばしる人力感 >>34
全員が同じパスワード使ってるわけじゃないんだからみんな一斉に変わらなくても別に良くないですか?
不正アクセスに気づかず情報抜かれ放題な時点でアウトという意見はそこそこ同意なんだけど、だからこそそういうアウトな状態になったとしても、そんな状態を少なくするようにするべきかと。
究極的にはリモートから会社にアクセスできないようにするしかないけど、そんなことしたらリモートワークできない。 一ヶ月に一回変更されると
8桁の英数記号でも覚えるのは面倒になって
メモしたり末尾だけ変えたりするようにするわ うちの会社は月イチ強制更新だった
だが、他人の手元を見てはパスワードチェックしてたところ、
ほぼ全員月に由来する数字orアルファベットを先頭か末尾につけるスタイルで、笑った
多いのは末尾タイプで、タタタタタタタタ、…タタ、って感じで打つ
レア度の高い先頭タイプは、…タタ、タタタタタタタ、って感じで打つ >>29
本当に恐ろしいのは内部犯よ
人事情報を覗きたい。役職者になりすましてメール送信
誤発注で嫌いな奴を失脚etc...etc...
ログは残るかもしれんが記録にある人間と操作した人間が同じと証明するにはどうする?
監視カメラか?それはそれで別問題に発展するが >>35
だから定期的にパスワードを変更することはなんらリスク低減にはならん
むしろそのリスクを増すというのが最近の潮流だって パスワードの変更に効果はないよ今のセキュリティの常識
結局人が管理するから規則性が生まれるしランダムな文字列は覚えられない
いつの時代の話ししてんだか 漏洩対策なら1ヶ月毎の変更じゃ意味ないだろ
その目的なら1分毎に変えろ >>26
論理展開が意味不明なんだが?
毎日使うシステムであろうとなかろうと
8桁パスワードで考えた場合
10年間変えず破られる確率と
毎秒変えて破られる確率の差
0.000001% だから
定期的に変える意味はほとんどない
ソースは日経コンピュータ2014年10.16号
んなことより、パスワードを平文で保存することをやめたり、ログイン履歴を確認できたり、ログイン通知が飛ぶようにしたりする方が賢明 この穴に挿入してください
●
この棒を挿入してください
(AA略) 漏れたパスワードを変更したらそのパスワードでログイン出来なくなるのに、
全く意味がない、という理屈が全く分からない。
ただ、生体認証やカード認証はなるほどと思いました。 漏れたらいうけど
漏れたらすぐにデータ見られるんだから
そのあと変えたところであんま変わらん気がするわ ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ >>58
じゃあパスワード漏れたら危ないから毎日パスワード変更するようにしよう(極論) >>58
だから、定期的にパスワードを変更することを強要することで
逆に漏れたり、使い回されて結果的に漏れるリスクが増して、そっちのほうが
影響が大きいんだって
ところで、>>41で言ってることってどういう理屈か、意味理解できます? >>51
そんな妄想に対応するためにセキュリティやってんのかよw
だからさー出入口のカードログでPCの持ち主は席に居ないの分かるだろー?w >>61,62
そういうんじゃなくて、漏れたパスワードを10年使い続けてたら10年間バレない範囲でやりたい放題されるけど、
1ヶ月に定期変更してれば1ヶ月だけやりたい放題されるだけに被害がとどまるでしょって話なんですけど。 発言小町だろ?女にパスワード覚えられるかよ?そりゃ発狂するわ >>66
1ヶ月やりたい放題されたらもう致命的だと思うんですけど うちは去年まで1ヶ月ごとだったけど今年から3ヶ月ごとになって楽になった
まぁPCログインとメールとメイン業務ソフトと顧客DBと勤怠管理で
毎日5つもIDとパスワード打たなきゃならんけど >>63
何で定期的にパスワード変更したら漏れやすいの?
手元を誰かに見られてるってことですか?
あと普通にWindowsのパスワード変更画面で前のパスワードと似てますって警告でたことないですか?
あれってマイクロソフトが本当はやってはいけない処理をやって判定してるってことですか? >>68
だからその致命傷の期間を短くできるって言いたいんですけど。 >>77
1回でも入られたら終わりなんだよ
アホか >>77
1ヶ月も致命傷負いつづけたらもう死んでるって言いたいんだけど… >>62
一定の法則がないと
またわからなくなって情シスにバカにされるから
末尾は時間の数字2桁にしようw
あと会議とかで1時間以上変更できなかった場合は、終了次第即刻変更w
結果、帰宅も睡眠も認められないwww 一分でも侵入許したらバックドア仕掛けられて
それ以降、パスワード何回変えてもやりたい放題される まぁ仕事中鼻くそほじくりながらスマホゲーやってる管理者がいる会社は定期的に変えさせる方がいいのかもね
変えないより被害は減るでしょう。0.00何パーセントぐらい >>72
定期的にパスワード変更を強要することで
紙のメモをとっておく、他所で使ってるパスワードを使い回すようになる等のパスワードの管理がより杜撰になるんだよ
そうだと思うよ。
本当にちゃんとしたパスワード保管はちゃんと暗号化されているので
システム管理者にも分からないし、暗号化されたパスワードを見ても何の意味もない
過去のものとの類推なども当然不可能
以前、2chがクレジットカード番号等をおもらししたのは
暗号化せずに平文で保存していたので、それを丸々おもらしして大惨事になったんだよ >>78,79
つまり、入られた後の対策は一切考えないって事で良いですか?
入られない事が一番の対策だってのは分かるんですけど、入られた場合の対策無しってそれはそれでどうなのと思うんですけど。 >>73
ICカード導入してるのに
席にいないはずの人間がPC使ったとか
リアルタイムはおろか、事後にもわからないようでは
セキュリティ部門として意識低すぎだよね >>85
まともなシステムは不正を検知できるようになってる
お前の言うような目的で定期更新させるのは馬鹿としか言えない >>85
パスワードが流出して不正アクセスがあったら
それに気がつくのはまた別のお仕事
それができないからその責任をパスワードを
定期的に変更させるというのは筋違い パスワード認証の生みの親が
この方法はもうダメぽ
って言ってたからな
複数の長いパスワードは凡人の脳では管理できん パスワード月イチ変更はアメリカのセキュリティ専門家が言い出して政府機関の標準に採用されて広まったんだがあれは誤りだったって何年も前に改められている 侵入された場合端末にも何かしら異変が起こるはずなんだけどそれに気づかないユーザーもどうかと思うね >>85
いや43で書いてるだろ
セキュリティーは多層的にやるべきだって
パスワードは破られないことだけ考えてりゃええねん
破られた時はまた別のセキュリティーの仕組みで対応するべし >>90>>91
たぶんそういう歴史的な背景とかも知らないんだろうな
勉強不足だよ >>87
この種の非現実的な妄想でリスクを語るバカが一番アホ。
銀行ATMで指や手のひらで静脈認証が行わなれるようになってから
何件切り落とし事案があったよ?
眼球の静脈認証が高度なセキュリティ施設で行われるようになって
目玉繰り出し事案が何件あったよ。
重度の障害・殺さなければ突破できないセキュリティは
ほぼ突破できないと同義。
それがわからないラノベ脳はもうすこしリアルな「人間」と向き合うべき。 キーロガー仕掛けられたらパスワード変えれば変えるだけ法則性ばれて携帯や銀行のパスワードまで推測されかねない 英数字の組み合わせ強要はまだ許せる
それにくわえて大文字小文字混在許容は許せん >>88
例えばノートPCからVPNで接続する場合、パスワードがあってればそれが不正なアクセスかどうかなんて分からなくないですか?
なにもとらず、悪させず、普通にファイル閲覧して閉じるみたいなアクセスとか。 >>95
でも寝てるときに読み込ませるというのは多いみたいじゃない >>98
それは既にVPNのアクセス権を奪われてるわけだが >>98
不正アクセスかどうかも判断できないような管理で
どこの馬の骨とも分からないノートPCからVPNアクセスさせるような
セキュリティー管理自体がそもそも問題です
それはパスワードだけの問題でもなければ
定期的にパスワードを変更させることで解決する問題でもありません >>99
多いと言い張るなら、現実の事例を数例、ソース付きで出していただけますか?
「多い」、「ありうる」、「よくある」、「みんな」
こういう抽象的なざくっとした表現で己の主張を裏書きしようとする奴は
漏れなくクズなので、一瞬で見抜ける。 10文字くらいで頻繁に変えるくらいなら20文字のをずっと使うわ。
漏れたらそん時考える。不審なアクセスあると警告してくれる所多いしな どんなに堅牢なシステムができてもインシデントの半分以上が人為的なミスから起こるって社内研修で新卒が習うことなのに、
システム面の話ばっかりで人為的な事を考慮せず話する人ってどうなんだろうと思うんです。 結局、パスワードを複雑化してもどこかに今のパスワードを書いたメモを置くだけなんだよなぁ
ソーシャルハッキングの温床にしかならないわ >>102
ソースなんかなくても
常識的に考えて寝てる人の指で普通に指紋認証出来るだろ
銀行ATMは無理だからスマホやPC程度だけど >>97
むしろ、こちらは強固なパスワードを用意してるのに
英数だけで記号をつかわせないとか9桁までとか変に弱い方に制限を掛けてるのが許せない >>104
パスワードだけでセキュリティーの問題を何でもかんでも解決しようとするな!
それは怠け者と同義だぞ!!
きちんとセキュリティー対応しろバカたれが 生体認証系はまだ筋が良いかもとは思います。目の網膜の認証とか出来れば寝てる時でも使われにくい。 >>104
だから定期的なパスワード変更が「人為的なミス」を一番誘発するって話だろwwww >>106
常識的に考えればわかるだろ!
↓
俺が常識だ!
という、バカ >>104
いいこと言うじゃん堅牢なシステムに穴を開けるのは人間のパスワード管理なんだよ >>111
どっちの俺さんが常識なんですかねw
自分の頭で考えもしないなんてあほらし >>107
昔、社内のシステムで、「特定の記号は使えません」と表示されて、????ってなったw
あの頃はSIにもバカが多かった
今も多いけどw まぁパスワード+ワンタイムパスの組み合わせが普及したからってのもあるんだろうね ランダムに生成された英数記号16桁、メモなどは一切なしくらいであれば
パスワードの保管元がザル管理で破られない限りパスワードが流出することはありえない 現実的に、今は、ビッグデータとディープラーニングの時代なわけで、
不審な動作をした時点でアラート出せるんだよね。
一時期に比べてSPAMも少なくなったのは、フィルタが爆発的に進化したためだ。
あまり経験者がいないと思うが、不正利用されると即座にカード会社から電話が来る。
利用履歴を自動判定できるようになってるんだよね。
ディープラーニングはそれ自体もすごいが、セキュリティ分野では別の価値がある。
つまり、判定基準が明示的でないため、
プログラミングに親和性が高いだけのアスペ野郎が裏をかけない、
というところに真価がある。 >>97
sshのマニュアルでは15年以上前からパスフレーズを使えって書いてるのに
いまだにパスワードの長さは20文字以下とかのシステムがはびこってて
そのくせ文字種だけ多くしろとかバカにしたような作り パスワードの変更なんてセキュリティ的になんか意味あると思えないんだが
それより怪しいサイトを利用しないとか
変なURL踏まないとか
メモで見えるところにはっておかないとか
そっちの方が大事な気がするわ
変える事で覚えずにメモそこら辺にある方がよっぽどあぶねえよ 要は歩いててもベンチに座ってても隕石に当たる確率は同じということ パスワードをランダム文字列にしないとかセキュリティ意識低すぎない? メモが多すぎて
現在のパスワードが
わからない
○1点 ID:lOjzoGKG0がシステム管理者で
小町だか知恵遅れだかに書き込めば
同じように炎上できるな PCにテキストファイルでメモするのが1番だよ
それが見られるような事態なら既にもうダメでしょう パスワードを3回間違えるとログインできない設定にしてるのに頻繁にパスワード変えるって意味あるのか
3回以内にログインされる可能性があるから頻繁に変えるのか
それ変えても3回以内でログインされるなら危険度変わらなくないか >>77
致命傷の意味もわからないんじゃいくらパスワード設定してもすぐお漏らししそうだな
一人の人の首をもいで、心臓ひと刺しして、内蔵ぐちゃぐちゃにして、脳漿ぶちまけて致命傷4回与えても死ぬのは1回なんだよね
パスワード変えてればどれか一つで済むよって言ってるようなものなんだけど >>123
セキュリティーの高くない普通のお仕事ならそれで良いけどハードディスク盗まれたらヤバいようなお仕事ではランダムは危険かも
マシンパワーに物言わせた総当たりのブルートアタックで突破される可能性が高い
ランダムだけじゃ問題あるからワンタイムパスワードの仕組みがある 明らかな釣り堀小町だけど
3回間違えたら初期化って釣る気ねーだろw
話がお粗末すぎる >>129
ランダム文字列で40桁
これで十分だよ
これが破られるような技術があるならビットコインは崩壊してる >>129
むかしエロ画像のZIPパスワードを解こうと解析させたが
英数記号10桁くらいにされるともう現実的な時間では解析不能だったわ
おじさんは、最近の若いもんはやれ無修正動画だの漫画読み放題だの何でも欲しいものがすぐ手に入ってしまうから
そういうことをやった経験がなくて結果情報リテラシーも低くなっとると思うのです 定期パスワード変更を求められるものはヤケクソでchimpo+ yyyymmにしてる 浮気してる奴 スマホは指紋認証はやめておけよ
寝てる間に指使われて認証突破されてlineチェック喰らうからな 指一本で入力できるPASSに凝ってた
ふじこみたいな感じのやつ IPアドレスとパスワードと所在地とMACアドレスで管理すればいい。
最初に登録した特定の機器と、もう一台のみまで可能とし、
何処か別の場所からアクセスする場合は、当人が別の場所からアクセスします
という許可をあらかじめ出しておく事で対処するとか、
使うブラウザの番号を義務付け、同じ番号のブラウザは存在できなくして、
当人はそのブラウザのみでアクセス可能とするとか、別のブラウザでもアクセスできるようにするとか
自分で許可を出しておくようにするとか アプリ一個一個パスあんのに覚えられるワケねえっての
サバンじゃねえんだぞ Chromeがパスワード全部覚えてしまってるから
Chromeに致命的な脆弱性があったり
家に空き巣に入られてPCごと盗まれたらお終い 炭水化物ダイエットが実は身体に良くなかったみたいに、実はパスワード変更は有効だった!みたいな記事が5年後くらいに出たりしないですか?
何かそういう罠的なものが潜んでそうな気がするんです。私の直感です。 >>72
Windows標準で変更前と変更後のパスワードが似てるなんて機能ないぞ >>128
つまり、入られた時点でもう死んでるので、後の対策は考えなくてもよいという事ですか? >>132
解析するPCの性能は昔と比べたらあがってるだろ
最新高性能PCでそのエロZIPのパスを解析して昔を思い出せ 見直される可能性?多分ないね
+ワンタイムパスが定期変更の進化系だから >>131
40桁ww
確かにセキュリティー性は高いな
まぁ一応書くけど基本的に英数字のパスワードならブルートアタックで解けないパスワードは存在しないぞ
マシンパワー依存で時間がどれだけかかるかが変わるだけ絶対の安全性は存在しない
アメリカの情報機関のNSAの仕事の一つは大規模なスパコン使って暗号解読で難解な暗号と違ってパスワードなんか文字通り時間の問題で解読される >>138
オフラインでパスワードの危険性ってことは解析ツールなんて使われないし頻繁に変える必要なくね ZIPとかDESの総当たりを試みたのはじじいの共通体験
2chのトリップ総当たりも同じだけど専用機を作ったやつは病気だと思った
SSE、GPUを使うソフトに速度を抜かれて技術の進歩はすごいなと RSA暗号の仕組みを学ぶと面白いぞ
よくもまあこんなのを思い付いたと思う
でもNSAとかはもうその解析法を実は開発してたりするんじゃないかと思ったりもするが >>141
こういうので変更できなかったようにおもうんです。
https://answers.microsoft.com/ja-jp/windows/forum/windows_7-security/複雑性の要/5d3abe0c-2244-489a-a840-4e37e85ed8be?auth=1 >>132
やったやった
とはいえそれは昔の話で今はマシンスペックもかなり上がってるし
個人のイタズラならともかくガチの犯罪者なら並列処理とかしてくるからもっと速い気はする 生体認証とかに移行するならまだわかるんですけど、パスワード認証を続ける場合10年同じパスワード使い続けるって感覚的にどうなのって思いません?
思わないですか?わたしは思うんです。 0721
0722
0723
これ繰り返して使っていいよ わしに言わせれば
意識()ばっかり高くてパスワードを平文で保管するような阿呆なシステム管理者が一番のセキュリティーリスク
それがあるから本当はパスワード使い回ししたいのに
どこで漏らされるか分からないからできない >>142
頭大丈夫?
あんまり意地になってないで他の人のレス素直に読めば?
既にいろいろ書かれてるじゃん >>156
いえ、他の人は入られた後の対策もログやアラートで対応するべきだよねって意見あるのですが、あなたのレスは入られた時点で終わりみたいに見えたので。
あなたも、万が一の入られた後の対策は必要だよねって事で良いですか? 小町ってリアルユーザーはどれぐらいの割合でいるんだろうな
8割ぐらいは釣り師で2割もいなそうな気がする この話が真実だとしたら、頭の固い一般社員が偶々システム部門に配置されて
引き継ぎ受けたとおり、何も考えずに月イチパス更新をさせてるだけなんだろう 仮に真実だとしたら
頭固いんじゃなくてトンボ佐藤みたいなメンタルなんだと思う パスワードころころ変える方がセキュリティ的にマズいって話があったばかりだよな 下手に簡単なパスが使われるなら、定期的な変更は推奨しない方針にNISTのガイドラインも変わったからねえ 流出させないこと
他人が推測できないこと
機械の総当たりに当たらないこと
漏れた気がしたら変更すること
が重要で何日毎に変えろって全く意味がない >>28
普段と違う端末からのログインを監視警告した方が有効ね >>157
入られたことを一早く検出して流出を食い止めることの方が大事
1ヶ月なんて悠長なこと言ってないで数秒から数分のオーダで検出できないと全部抜かれた後の祭り >>167
パスワードを破られるかどうか?に関しては、定期的な変更に意味はないよな。
でも、破られた後長期に居座られるリスクに関しては、定期的な変更が意味をもつ場合もあるかも >>98
その例えばなら最低限クライアント証明書使えっていうパスワード以前の問題 パスワードに変わるセキュリティデバイスなんかないかね
トークンは面倒 >>64
妄想もクソも実際の事例としてゴロゴロしとるが
セキュリティ皆無にしたら氾濫するだろな
今日から業務効率優先でログ取りませんー認証も不要ですーインターネットから社内システムに直で繋げられますーってか
アホアホの極みやな このスレ見てても分かるけど企業情シスは二極化していて
ダメな方の能力の低さは目を覆うものがある
全く論理思考が出来ていない 画像に表示されている文字を入力するやつの読めなさ度は異常 taro0415
0415taro
以降くりかえし >>134
最近、彼女が寝てる間にスマホ認証させて外部から位置情報取得できるアプリインストールして
別れてからもストーキングしてた男が捕まったな >>179
「過去に使用されているパスワードです」 某サイトは昔、2ヶ月ごとにパスワード強制変更させられて
しかも変更後はパスワード変更処理のため2時間ログインできないというクソ仕様だったわ
思った通り、あっという間にパスワードの強制変更なくなったけど |゚Д゚)ノ BIOSパスワード、HDDパスワード、OSパスワード、ドメインパスワード、グループウェアパスワード
|゚Д゚)ノ めんどくせえんだよ! 毎月変更なんてのは使い勝手が悪すぎて無理があるんだよ。
忙しい時にパスワード考えろ!って毎月やられれば
二つを切り替える・語尾に適当な数字で誤魔化す
こうなるのが当たり前でしょ、セキュリティしか考えず利便性とか他の事を考えない悪例だな。
こういうのはバランスを考えるしかないんだよ、スマホだってセキュリティが第一ならありえないでしょ。
そこまで考えが至らないから叩かれるだけ、現場の事も考えろ!ってね。 >>158
webシステムへの変更と指紋認証の「廃止」を同時に行ったアホな会社を知っている パスワードはナンセンスだな
IDチップデータと社員番号入力値と生体の3点照合だべ
本人すら知らない番号と固定地と本人しか出せない不変値での称号だべ パスワードは定期的に変えるべきだと主張した最初のおっさんが、
あれは間違いだった変えない方が良いって発表してたやん コロコロ替えるパスワードのせいで、メモしなくてはいけなくなったり簡単なセンテンスにしたりしてるのが大半。
強固なやつを破られるまで使い続けた方が安全なんだが。 そんなに大変か?
パスワードの一部を「1804」みたいな、年と月にすればいいだけじゃん 同じパスワード英字で後ろに1803とかいう年月を付け加えてる セキュリティ関連知識が何十年も前で止まってるセキュリティ担当者、危機意識だけじゃなく、仕事に対する意識も低すぎだろ >>193
月日が経ってからログインしようとすると前回の日付忘れて3回失敗してアウトじゃん 日本企業のIT環境って絶望的だよな
海外の一流企業は92%が社内でMacを活用し、44%の企業が社員が希望すればMacが支給されると聞いたぞ >>196
日付けじゃなくて月をパスワードにしろよ 最初の仮パスの「tyo4yNa9fgi」とか最初はメモ見ながら入力していても
そのうちメモ無しで入力出来るようになるからね
それを「Gochan001、002、003・・・」とか覚えやすいものにするほうがねえ 生体認証も指紋は盗まれる時代だから駄目だよな
ちょっと前までポルシェとかの指紋認証を突破する為オーナーの指ちょん切ってだけど
今は写真から指紋取れるし うちのとーちゃんは日本一
残ったローンも日本一
真面目に生きちゃバカを見る
ほんじゃまかほんじゃまか
ああー
嘘松 1passwordで管理すればええ
お漏らししたら最悪だがw セキュリティと言うか防犯従事者だけど、この業界パスワードとかに限らずセキュリティ認識ゲロ甘な奴多いぞ
社内の鍵の管理が甘くてよく失くしたり何かのパスワードとかを人の前で手打ちしてかつそれが12345678とかのどうしようもない物だったり
もう誰も前にここで祭りになって業界が大騒ぎしたロシアの監視カメラ筒抜けサイト覚えてねえ パスワードもその内なくなるんかね
指紋認証カメラ認証声音認証とか
SFっぽく眼球認証とか 顧客情報とか設計図面とかなら丁重に扱うべきだからわからんでもないが
俺が何時に出退社して有給何日消化してるかなんて誰にバレようが問題ねーんだよ 危機意識もたせるには
これくらいやらせんとなあ
パスワード変えない方がいいってのは
変える時に覚えやすくするのに
簡単になっていくかららしいけど 生体認証は生体認証で一生変わらない変えられないもんだから
認証のデータが流出した時とか社内に留まらず全方位に困ったことになる うちは色んなシステムを外注に出した結果、業務で使うIDパスワードが必要なサイトが10個超えた。
ほんといい加減にして欲しいわ、どいつもこいつもIDIDうるせえw オレは上毛かるたをパスワードにしている
Y0n0ch1r1@r@ush1m@0nsen#って感じだ
群馬県以外では最強のパスワードになる +pMt^UZFP9i!3k2o
こんなんでパスワードの保存元がそもそもハッキングされる以外
破られるかもという危険を感じたことはない そういやPCのログインに2段階認証って使えないのか?
ネットから切り離されたら無理なんかね 簡単じゃん
例えば、一月ならaiueoJ、二月ならaiueoF、三月ならaiueoM
にしたらいいだけなのに みずほ銀行は御大層なワンタイムパスワードの端末まで送ってきて
使えるブラウザはIEだけとか
馬鹿じゃねえのかと >>20
漏れたことに気づかせるシステムが無いのが不思議。
googleなら新しい端末からのログインは通知される。
lineでも同じように通知される。
同じ端末からだと侵入は分からないが、カメラを使用してログイン時の顔を撮影する方法もある。
紙に残すやり方もそれなりに有効。紙を見つけられないとパスワードが漏れない。簡単なパスワードを覚えて、それに記号を足す定期的変更法もある。紙には二文字しか書かないし、パスワードそのものではないので見られても平気。 >>15
パスワード強度チェッカーで、長くするとむしろ弱く評価されるときがある。
特殊記号の頻度が低下するからだと思う。そのパスワードだと@以外が英数なので弱い。大文字、記号、シフト文字を入れないと。 >>158
>>186
中国じゃ指紋偽造キットなんて売ってるぐらいもう指紋は話にならない
日本の危機意識ってその程度なんだってお前らも体現してるぞ パスワードマネージャーの生成したパスワード使ってるから自分でも
パスワードわからねー 偉そうにいう担当者は社員のパスワードを
Excelで管理してたりするレベル 郵便局勤務だけど突然二ヶ月に一回変えろと周知来た、変えなくてもいいって記事見た直後だったからこの会社はやっぱりアホだと思った パスワード変えさせるよりワンタイム導入しろよと思う >>35
パスワードを定期的に変えることよりも、普段とは異なる環境からログインされたときのログを残すことの方が重要。 変えることに越したことはないけど
大半の人間はパスワード変更による手間を掛けるのが難しいことを認識しないとあかんわな 三ヶ月に一度でも、付箋に書いてディスプレイに貼ってるな。 カード認証にしたさ
そしたらおめーらカードなくすだろうが
机の引き出しに入れっぱなしにするだろうが
顔認証?コスト考えろよ一緒に上を説得してくれよ 会社なら覚えやすいパスワードにして紙に残さない
オンラインのものは覚えにくいパスワードにして紙に残す 月一で変更して覚えきれなくて失効とか本末転倒だよな。 月1変更強いられるなら、いつものパスワードに月の数字追加したら? うちんのpasswordはこかん忍性にしてから處女の偉大さに乾杯したことはある >>234
セキュリティ担当だけ覚えていればいいなら、これでいいよね >>86
貴方の言うICカードがPCを起動する為の認証用ならごもっとも。(と言うかその為のもんやし)
入退室管理を行う為のものなら出来そうな気もするが
規模の大きい会社だと無理が生じると思う。
ただのドア解錠程度のICカードなら絶対無理 >>181
これ鬱陶しいよね。
outlookでなるから、別パス作りまくりで結局おぼえられない 入館証でログイン出来るようにすればいいんじゃないのか ・3つの基本パスワードを用意します(大文字、小文字、数字を組み合わせで最低8文字)
・記号を4つ用意します
・基本パスワードの後ろに記号をくっつけます
これの組み合わせで12種類ってやってるわ
パスワードの履歴10とか設定したの誰だよクソ管理者がめんどくさいんじゃ うちの課長はパスワードは複雑だし、月一で変えてるけど、そのパスワードをモニターの
横に貼り付けてる。 メールの誤送信を気をつけましょうっていう表題で
セキュリティー啓発の問題を送りつけて来たセキュリティー担当が
問題の答えも誤って一緒に添付して送ってくるというミスをやらかすっていうのは実際にあった >>119
あー、クレカの会社から速攻で電話きたことあるわ。
過去の履歴から、今までにないパターンを検知するみたいね。私の場合は、海外から一円請求(カード番号が生きてるかどうかのチェックでやるんだって。かえってバレバレな気が…)と、2万円くらいの請求があった(発覚を遅らせるため高額にしないそう)らしい。
ちょうどその頃、数年ぶりにしたアマゾンでの買い物もあって、「◯月◯日のアマゾンでの購入はされてますか?」って聞かれた。
すぐに番号変える手続きしてくれた。 そもそもパスワードなんて平成の遺物をいつまで使ってんだよ、て話だよな
と数年後くらいにはなってそう >>240
履歴10は地獄だな
履歴8の時は大文字小文字の英数字部分を春夏秋冬東西南北の
8つで順繰りに使いまわしてたけど
あと2つ何足せって言うんだよ。。。 てめーが扱ってる情報にそんなガチガチにガード固めるほどの価値はねえよ
と言いたくなるようなのも結構多い
特に社内の業務系システム 黄金聖闘士やギャルゲーヒロイン順繰りに使えば忘れないな 数字4桁のガバガバパスワードすぎるから
7410で済ませてる とあるFの子会社がそんなんだったわ
くっそめんどくさかった >>247
1月 Nezumi1234
2月 Usagi2234
3月 Tora3234
︙
どうよ? >>13
変更自体には意味はある
定期的なパスワード変更が無用なのは、一人だけがそのパスワードを使うケース
社内で複数の人間が同じパスワードを使うような場合は漏洩もしやすいし発覚しにくいから定期的にパスワード変更は有用 それとも、春夏秋冬東西南北でやってきたなら上下左右を足す方が覚えやすいか >>239
うち前それやってたけど、リーダーが思った以上に壊れやすかったのでやめた >>13
4月初めのラジオで中央省庁職員の個人情報が膨大な量闇サイト流出してたってニュース流れていた。
この少し前からニュースサイトなどに出ていた「パスワードは定期的に変更したほうが良いという常識は間違い」というお達しも実はパスワードを変えて欲しくない悪意ある第三者が発信源かもしれない。 黎明期に定期的に変えた方が安全と言われてそのまま盲信しているパターン パスワードの定期変更の効果についての検証なんてされたことないだろ >>258
社内の複数人が同じパスワードを使い回すような運用がそもそも間違ってるし
そんなことをやってるならもはやそのシステムにパスワードは本当に必要なのかを疑った方がいい >>258
パスワードの定期更新は必要ないとパスワードの世界標準を決めている米国政府機関のNISTが公式に決めたぞ 結局、パスワードの堅牢さは長さに比例するから長くするのが一番良い
しかし、長すぎると覚えられないので使い勝手が悪い
だからパスワードを文章にするというのがあるよね
35桁
bokuhakare-gasukinanode2haitabemasu
(僕はカレーが好きなので2杯食べます)
英語じゃなくてローマ字で書くと意外と覚えられるし記号と数字も入るように意識すれば
これくらいのパスワードを覚えられる 不審なメールは開くな
何でもすぐにクリックするな
パスワード変更なんぞよりまず先にこれを教育すべき 最近の英大小+記号+数字組合せで8桁以上ってパス
暗記不能だからテキストエディタに変更した日付とパス貼り付けて
そこから都度コピペして使ってるわ
みんなあれどうやって管理してるんだよ どっかでパスワードはユーザ負担の大きいセキュリティ対策だとか読んだな
そういう意味では>>1のシステム担当の方が意識が低いんじゃね ハイセキュリティの自動作成で作ってメモっておけ
どうせメモってることバレないから >>2
小町で作文書いて釣りやってるのってどういう人なんだろうな >>211
AD認証にしないでばらばらの認証システム?
情シスくびにした方がいいw いつもの所にあげといたわ
間違いなくアウトだからすぐ消す
パスは基本な パスワードの定期的変更は不要てのが最新の潮流だよね
定期的変更は、ユーザー負担が重く、紙にメモ書きしたり、123abcとか簡単なパスワードやパスワード覚え安いようにアルファベットや数字の一部だけ変更で、パスワード流出や破られる危険が高まるんで、定期的変更はリスクが減らないらしい 昔、会員制サイトで会員番号と生年月日でパスワード設定
会員番号と作ったパスワードでログインってのつくったわ
パスワード設定用の生年月日はブルートフォース対応してないから侵入されてそうwww >>21
会社のシステムにログインするときは手打ち必須じゃないの? ウイルスフォルダ作ってテストウイルス.exe1の名前で一太郎で作ったエクセル形式で管理している。拡張子は除けてる。まいったか。 パスワードを定期的に変えた方が安全とか言い出した奴頭悪すぎだろ 最初にバスターを入れれば複数いける(´・ω・)ス
普段は不具合ないけどウィルス発見したときすごいことになる(´・ω・)ス
ソフト同士で取り合いを起こす(´・ω・)ス
ノートン「とったどー! 隔離する(´・ω・)ス!」
バスター「(ノートンの隔離フォルダから)とったどー! 隔離する(´・ω・)ス!」
ノートン「(バスターの隔離フォルダから)また見つけたどー!」
って繰り返す(´・ω・)ス
テラバカ(´・ω・)ス
あとむちゃくちゃ重くなるから常用は無理(´・ω・)ス 何度も打ち直せるシステムの場合だと定期的なパスワード変更の優位性は皆無だと思うけど、
何度か失敗するとロックされるシステムなら定期的なパスワード変更の優位性はあると思う。
でも俺は定期的なパスワード変更をしたくないでゴワス。
>>259
もももちろろん英語ですよ。
スプリングサマーファールウインナー 今って頻繁なパス変更は危険だからパスフレーズ使えって流れでしょ? というか特定のPCでしかログインしないならぶっちゃけメモでもいいわ(自宅とか)
誰がそこまで侵入して盗み見るんだよ >>272
1st Password now on stage !
2nd pPassword nowon stage !
3rd ・・・ >>220
ヤマダオナニーシコシコメンマ@3万円
メンマって何だよ!って突っ込む所じゃないの? >>293
紙にプリントして隠しておく
最悪泥棒が入ったとしても
紙まで見ないし、証拠になりそうなものを持ち帰らない keeperに金払って全部管理してる
キーパー自体はGoogle認証アプリと指紋だから結構安全っしょ
覚えられんようなpw設定してくれるし便利 シス管に尋ねたいんだが、
社員のメールログとか仕事に関係ないブラウザのアクセスログとか問題が起こってない時でも見たりする? >>13
1ヶ月でパスワードを変更するとして、パスワードを破るのに1ヶ月かからないなら意味はないよな。 USBトークンと指紋認証とかで良さそうだけど金かかりすぎるか >>298
わざわざ見ないけど変な動き出しすると自動で警告でる それより聞いてくれよ、いま鬼太郎観てたら鬼太郎がスマフォ使ってたぜ。それに猫娘もなんか萌化してる セキュリティ担当しているならお前が全員分覚えろそのくらい簡単なんだろ >>305
パスワードは普通どこにも保存されてない >>298
月1のレポートで傾向みてtop10のユーザに警告だしてる パスワード月1で変えるってのは有能集団なら可能なのかな パスワードより物理認証キーでいいんじゃねーの?と思うけど
一括管理できていいだろうに。紛失したら罰金再発行で >>295
月のメンマ代が3万円なのは仕方ないだろ >>298
基本的に何か問題ない限りは見ない。
アクセスログは禁止サイトへの閾値越えたときのみ確認。 >>306
どこにも保存されてないなら入力して突合する意味ないだろ
厳密には暗号化されたものが保存されてると思うが >>313
暗号化というかハッシュしかない
ハッシュからパスワードは取れない
つまりパスワードは保存されてない windows内部に保存された各種パスワードなんてツール使うと復元できちゃうけどね >>5
簡単だよ
日本語の単語や熟語をローマ字読みしたものを3つ4つつなげればいい
文字種を増やすことによる複雑さよりも、十分な文字列長を確保することが大事 パスワードの定期変更はかえって危険という議論は以前からあるし、
最近、総務省からパスワードの定期変更はするな
https://m.srad.jp/story/18/03/27/0431206
というお達しが出たので、
それを踏まえて、燃料投下すれば釣れると踏んだ小町職人の技 役所や中央省庁って一番ザルで、例えば業務上の要請で同僚に自分のパスワード教えてログインして作業させて、
パスワード変えない為にその同僚がなりすましログインで悪さして問題になって、やっぱりパスワード定期的に変えるべきって流れにいずれなるはず。
役人や中央省庁の連中って結構馬鹿だから、いずれ普通に起こると思うよ。 定期的に変えさせると
パスワードのメモを机に張り付けるやつが出てくる 毎月複雑なパスワード変更をしても、ガチでパスワード破りチャレンジされたら大抵終わるし
逆にパスワード破りされなかったら、パスワードは常に同じで問題ない
ピッキングに怯えて、家の鍵を毎月交換してんの?
「凄腕の空き巣なら簡単にカギを突破できるから!」←じゃぁ頑張ってもムダじゃんw >>104
その通り
パスワードの定期的な変更を強制すると、使いまわしにつながるという、人為的な問題を引き起こすって話 >>104
自社のシステムが堅牢かどうかはちょっとはうたがったほうがいいわ >>322
定期的なパスワード変更のセキュリティーより>>318みたいな利用者の問題による大きなインシデントが発生する可能性の方が高いと思うな。 >>318
定期変更には戻らないよ
パスワード自体が使われなくなる 態々パスワードを忘れる可能性を高めてから端末をロックさせてシステム担当者を捲き込んでいくスタイル >>322
>>>13
>「パスワードは定期的に変更してはいけない」 --米政府
世界中のパスワード破りまくるシステムを持ってて、そのシステムの負荷を下げるためにこのような情報をリークしている、と考えられなくもない >>318
社会保障などの個人情報とか役所の人間をギャンブルやハニトラで取り込むのが確実なハッキングだよね 月イチに対応できないとか下手なニートより頭悪いよな 「1か月に1回パスワード変更」がルールなら従えよ
文句があるなら、キレてないでルール変えるように動け 変えることより他と別のパスワード使ってるかどうかだな。 まぁでも10年前に比べると、だいぶセキュリティ意識は向上したよ。年1の社員講習やったって意味ないかと思ったけどそんなことはないね。
昔は誰の許可もなくやばい情報満載のPC持ち出してたし、違う取引先にメール誤送信しても笑い話で済んでた こういう アホが企業に余計な混乱を
与えている
意識低くてプライド高くてどーしようもない(;^ω^) 一つのパスワードならまだしも各システムで10個位あんのにそんなもん覚えられるかよ、駄目だと言われても100%全員どっかにメモってるな 毎度ワンタイムパス払い出すくらいの気合を見せてみろや
承認に忙殺される管理職の悲鳴が聞きたい クルマでも道交法守れない輩ばっかだろ?
殆どはモラル低くて頭が悪い愚民なんだよ >>5
>>37
>>316
パスワードを数式にして100ポイント以上一致にすればいい
どんなにアタックしてもほぼ解析不能 自分の携帯番号さえ覚えて無い奴にキレてもしゃーないでw >>12
漏れること自体か致命傷。
致命傷で済んだニダと笑ってられるのは朝鮮人だけ。 >>342
パスワードの解析不能性として2バイトでなく思い切って可変バイトにする
それも個人個人でキーマップ定義できるように >>279
こういうダウンロードのパスワードみたいにマルチバイト文字通すようにして日本語でパスワードつかえばセキュリティあがるよな。 めんどくさいから指紋認証とか顔認証にしてくれよ
そんなコストかからんだろ >>355
だから漏れることを想定しないってどうなのって話してるじゃないですか。東電の原発事故から学んでください。 顧客には漏れたらやばい情報は社内システムに入れるなっていってある 自分のアタマで考えず、トレンドだからとかアメリカのえらい人や権威が言ってるからとか、変だと思わないのかな。何でそんな程度のリテラシーの人が偉そうにしてるんだろう。 個人で色々なサービスで
メールアドレス:パスワード
を使い回す方が問題やね
一個漏れると、全部もれる >>291 >>294
危険なのは分かってるんだけどさ
プログラムでランダム生成されたのを定期変更しろってなって
それでやむを得ずそういう対応してるんだよ >>270
パスワード解析は辞書検索もするから
実際の強度としては大したことにならなそうだけどな 考えるのと覚えるのがめんどくさいから、名前+年月にしてるわ。
入力はだいたいUWSCで自動入力。 >>357
パスワードのフォーマットを変えるべきだな
なぜいつまでも平文テキストか 全世界からお金めがけて突撃してくるビットコインの取引所とか開発してるやつすごいよな
いろんなとこでやられてるけど絶対やりたくないわ パスワードを変えて実際助かるには、
アタッカーがパスワードを変更して何度もアタックして来る事。
同じパスワードでのアタックは行わない事。
変更後のパスワードが、既にアタックで使用されたもの。
じゃないと全く意味ないと思う。 >>355
まともなサイトならパスワードを平文で保存することはない(漏れても使えない)
パスワード教えてくれるサイトはアウト >>364
パスワードの定期変更は平文で漏れたことを想定したもの
クラックは想定外
そもそもパスワードを平文で保存してる前提がおかしい >>283
必須じゃないのもある
PKI認証というICチップ使った認証
あと、生体認証 >>330
今回は総務省も発表したからいいけど
日本政府とかそれに準じた組織が発令しない限り、日経〇〇に載ってたり、アメリカの国際的機関の発表だったりしても、「知らんがな」という頭の固い人間もいるから。
こっちが何伝えてもシカトされる。
改善提案しても、よくわかってない上層部が「セキュリティの担当者がいうんだから従って」とか言い出して速攻で棄却扱いされる。
酷いと、それで事故起きたら君責任取れるの?とか言われて、会議すら開いて貰えないかもね。
社員みんなパスワード定期変更してるわ〜俺それをさせてるわ〜って自己満に浸りたいんだろうが、愚の骨頂 >>369
まさに日本的
まあ決定権を専門家第一でやらないせいだね
結局経営無能と言われるのは能力ないのにできると言い張るからだな メールの添付ファイルパスワードを別のメールで送る風習はどこから来たんだろうか。
ものすごく意味ないものに感じる。 おっさんシス管あるある。
こういう事しつこく強要するくせに、
メンテ用のパスワードはすべて共通で
しかも簡単だったりする。 >>371
送信間違った系ポカ対応でしょそれ
パスワードは直ぐでなく遅れて出すになってると思う >>371
メールは元々平文だったのとSSLになっても中継されるサーバーでは丸見えだから >>365
漏れるのはサイトからじゃなくてフィッシングからだから。 総務省がパスワード変えるなって声明出しただろ
知らないとか意識低すぎじゃない? ツイッター、勝手にログインされていると思ってたらツイッターのシステムがおかしいだけだった
正しい地域が表示されてそれで分かった
とんでもない地域からログインされているという表示、直せんのか? 大体3回間違えたら初期化しないといけないって、セキュリティ設計が間違っているw じゃあパスワード変更しなかったために発生したインシデントは総務省の責任にして良いの? >>380
1%の確率で漏れる手段と、0.5%の確率で漏れる手段
どちらかと言えば後者を推奨します、ってだけの話で、パスワード変えなきゃ漏れないなんて誰もそんなこと言ってないぞ >>374
普通パスワードメールも直後に送るし、間違いに気付くんだろうか。
>>375
パスワードも丸見えだよね。盗み見るつもりなら両方見ると思うが。
中継サーバはメール毎に違うとか? ぶっちゃけログインパスワードなんて変えないでいいだろ
ネットに関わる部分だけ気をつければいい パスワード定期変更のほうがリスク高いのが今の常識なのに あんまりパスワードころころ変えると覚えやすいのばかりになって却ってダメになるってどこかのセキュリティソフト会社が もう指紋認証の業務用スマホでワンタイムパスワードでいいんじゃね >>357
だからあえてローマ字で書くといいかと
kare-
curry
だったら上の方が解析しにくいかなと
クレジットカードのサインをあえてひらがなにするという話があった。
中国人は漢字は書けるけどひらがなは知らないからと
curryは世界中の人がわかるけどkare-が載ってる辞書は無いと思うわ >>388
そう言うことじゃなくて
FEPの中の辞書に登録されるって意味かと >>25
まあでも漏れるのとログインされるリスク含めて変えたときと変えないときとで破られる確率同じってことなんだろうな
管理者がもしものとき余計に上から怒られないようにしてるのが一番だろ パスワード貼り付けてるって馬鹿にされるけど電子保管したり手帳に書いて持ち出すよりよっぽどマシじゃね キャッシュカードだって指紋認証なんだから
パスワードなんて廃止していいだろ 社内システムなら社員証を通さないといけないようにしとけば カード認証+生体認証+文字認証(ソフトキーボード入力)が有用かな。
利用者の記憶に頼るやつはろくな結果を生まない。 パスワードの敵は誰か?
敵が会社内にいる想定なのか?
会社外のハッカーなのか?
それによって、かわってくる。 >パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なもの
えっ?
これって効果ないって随分前から言われてるけどまだ信じてるやついんの? どんな複雑で短期間のパスワードだって、覗き見(盗撮カメラ)されたら、
PCにパスワード貼ってる事と同じだわ。
PC机に誰でも近づける状況ならパスワードなんて無意味。
複製困難な物理的な鍵、FeliCa機能付きの社員証等の方が100倍簡単で安全だわ。 普通に指紋認証なり網膜、静脈等々生体認証にすりゃよいべ 最近の流れだから変えなくてよいはそれはそれで違和感 >>398
生体認証は変更ができないことと、データ量が少ないのでICカードより偽造リスクが高い。
なので最近はICチップ埋め込みなんて物騒な話が出てきてる。 >>25
そうすると今度は簡単なパスワードの使い回しとかが増えて
逆に漏洩するリスクが高まるんで
だから最初に複雑なパスワードを決めておくほうが
相対的にリスクが低くなるって話 >>399
馬鹿に合わせるのも大変だよな
見出しだけ見て、定期変更はNGと決める馬鹿がわんさか湧くだろう
Twitterで文句だけ言う目立ちたがりのセキュリティ権威wも同罪 パスワードの定期変更は意味ないというのが最近の常識だよね パスワードの複雑さよりも単語を沢山羅列した長いパスフレーズにした方が良いとされてきているな 何度も変えるとパスワードが単純化されていくから
それだと変える意味がないよって事なのに
変えること自体が意味が無いって風潮になってるな 敢えてパスワードを覚えずに毎回初期化してもらうという手法 >407 人間を相手にしているか、知識だけで論じてるかの違い。 そんなに重要なシステムなら、パスワード止めて静脈やらICカードやら使えばって感じだ。
イニシャル高いけど、月一回全社員パスワード変える手間考えれば、ランニングコストで回収できるやろ。 10文字以上で大文字小文字数字記号のうち4種の内から3種以上使用してパスワード設定
3ヶ月に1度変更
めんどくせーから固定の文字+@+変更した年月で設定してる >>406
それかなり以前からの常識なんだが
あらゆる間違いが未だに常識として運用されている
権威側の意見や常識的なモノはもう一度徹底的に考え直せ 最近アナログ保存が実は最強なんじゃないかと思えてきた >>158
ピースサインした写真とかあったらヤバい >>407
単純化されていくならそれは意味がないと一緒じゃん >>413
いや、定期変更を禁止したらダメだろう。
定期変更を強制することを禁止な。やりたい人は毎月でも定期変更すれば良いけど、定期変更しないとシステムが使用できなくなるとかはやめましょうという話。 「パスワード」なんて脆弱すぎるから2段階認証必須にして、そもそもフェデレーションなんかで認証の機会自体を減らす方向に向かってる。
その流れに逆行して各個人にセキュリティ対策押し付けてたら、余計な作業や負担増えて国内産業は益々死んでいくねぇ。マジで、今の管理職はちゃんと知識つけて産業発展する方向に導いてくれよ… うちも大小英数字13桁、毎月変更やららせる
正直面倒だ アメリカが今は死ぬことがトレンドですって言ったら死ぬんですか? >>292
俺「今夜"も"だろ?d(ゝω・´○)」 >>1
未だにパスワードを頻繁に変更した方がセキュリティ向上につながると思ってる馬鹿がいるんだな 英数字記号大文字小文字の定期変更にどれも意味なかったわ、ゴメンちょってのが最近の流れなのに、
セキュリティ担当なんて生産性下げてく事しか考えてないからバカになるんだな A01○○○
A02○○○
・
・
A06○○○
以降スタートに戻る
これで行ってる >>389
パスワード入力時にはFEPは使用しないのでは?
まあ、スマホやタブレットは知らんが・・・ パスワードを定期的に変更するということが間違い。
既に、定期的な変更を強制してはいけないという基準が世界標準。
まあ、お前らには読めないだろうけど、経典を教えてあげるよ。
https://pages.nist.gov/800-63-3/sp800-63b.html 生体認証とワンタイムキーを発行できるハードを支給しなさい そんなに気になるなら生体認証なりなんなり導入すりゃいいだけ 先日、アウトレットの会社からパスワードとメアド流出のお詫びメールがきたわ
文章としては分かりにくい、非を認めたくないんだなあという印象だったけど
こんなんが一番めちゃくちゃ悔しいわ まあ新宿古着屋ワタナベが覗いていますからねダイバクショウ しょっちゅう変えるようにすると簡単なパスワードしか使わなくなるからむしろダメなんだってな
定期的に変える事で、防げる問題と防げない問題があるからな
会社支給のPCのログイン程度なら、覚えられるパスワードや月一変更でもいいけど、
例えば企業のCMSログインとかになると、覚えられるようなパスワードには設定しない
(ランダムな英数字+記号)
それでも退職者などの不正アクセスを防ぐためには変更も余儀ない 好きな歌のフレーズをローマ字化してそれを単語の頭だけ繋げるとかすればまずわからないだろ
ただし、どの曲のどの部分か忘れたらお終い >>357
辞書検索されること前提でも、単純に長いパスワード(パスフレーズ)は組み合わせ個数が爆発的に増加するので強くなる
数万語 ** 5とか数万語 ** 10とか総当り不可能 海外のテレビ番組で指紋認証を偽造しようとして
色んな技術者が型とってシリコンで指作ったり色々試したけど全部駄目だった
最後に駄目もとでインクつけて指紋つけた紙を機械にかざしたら認証されたってのがあったな >>383
システムというか会社によるな
うちはちゃんとフローがあって確認後じゃないと送れなかった >>424
アンタパスワード漏れてるのに気づかない場合は定期変更する意味あるって行ってるけど、漏れてるのに気づかない時点で変えても漏れるんですけど。
貴方のような個人の屁理屈でブーブー言ってるだけの人が一番迷惑です。考えを改めましょう。 >>442
本末転倒のような
センサーは静電容量式が多いだろうから >>445
だいぶ前の番組っぽかったからなぁ
昔はスキャナみたいに光当てて陰影撮ってたから可能だったんだろうと思う
今のスマホみたいな読み取りセンサーだと無理だろうな どんなパスつかっててもクロームに抜かれてる気しかしない >>414
代理作業で自分のパスワードでログインさせた場合、その代理の人はパスワード覚えてればいつでもログインできるけど、
パスワード変更すれば以降はログインできないでしょ。
漏れ方によってはソウカモシレナイ場合もあるけどそうじゃない場合もあるし、何もやらないよりマシでしょ。
>>447
パスワード記憶させたりしてないよね 2つのパスワードを交互に変更できるザルシステムとか、ポリシーで過去分は使えないとかできるやん
>>450
履歴3回とかすると、クライアントが「使いづらい!」と文句言うので1回になったりする
技術的な問題と運営的な問題は別 もう、アプリダウンロードしてワンタイムパスとかにしてほしい 小6から27歳までずっと同じパスワード色々なサービスで使ってるけど1回も垢ハクされたことないわ 月一とか短い期間になると前のパスワード+連番みたいな
安易で覚えやすいもんになりがちだからあんまり意味ないと思うわ うちの会社は3ヶ月更新しないとパスワードが強制停止になるので、変更期限を忘れないようpassの最終更新日年月日+自分のpassにしてる。
180417hentai みたいな感じで。 ■ このスレッドは過去ログ倉庫に格納されています