セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ！」　→　炎上 : 暇人＼(^o^)／速報

▼　H e a d L i n e　▼

【注目】「League of Angels2 声優オーディション！WEB投票中」

【ネトゲ好き必見】SEVENTH DARK　最新作！ドラマチックRPG

セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ！」　→　炎上

1：名無しさん＠涙目です。：2018/04/15(日) 02:08:28.17 ID:shpnhuow0●.net: 関連：【悲報】総務省「パスワードを定期的に変えるのは危険です。やめましょう」

インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」（2018年3月11日付）への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。

たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

http://news.livedoor.com/article/detail/14579258/
44：名無しさん＠涙目です。：2018/04/15(日) 02:46:09.19 ID:k3sI38v30.net: 定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな
158：名無しさん＠涙目です。：2018/04/15(日) 04:23:43.84 ID:Zmk61WFX0.net: 指紋認証が確実だろ。
186：名無しさん＠涙目です。：2018/04/15(日) 06:17:11.83 ID:qsHsZ8j60.net: >>158
webシステムへの変更と指紋認証の「廃止」を同時に行ったアホな会社を知っている

4：名無しさん＠涙目です。：2018/04/15(日) 02:11:01.77 ID:blgrF3S00.net: パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる
5：名無しさん＠涙目です。：2018/04/15(日) 02:12:24.20 ID:ORsX7fUk0.net: そもそも覚えられるパスワードは安全ではない
316：名無しさん＠涙目です。：2018/04/15(日) 09:57:09.87 ID:pgnidzlJ0.net: >>5
簡単だよ
日本語の単語や熟語をローマ字読みしたものを3つ4つつなげればいい
文字種を増やすことによる複雑さよりも、十分な文字列長を確保することが大事
6：名無しさん＠涙目です。：2018/04/15(日) 02:14:55.69 ID:k3sI38v30.net: アホ「パスワード忘れたんで教えてください」
管理者の俺「いや、俺も知らない」
8：名無しさん＠涙目です。：2018/04/15(日) 02:15:54.36 ID:Ot5AX8dE0.net: 月一で変更とかセキュリティ担当の責任回避が目的だろ
12：名無しさん＠涙目です。：2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0.net: パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。
19：名無しさん＠涙目です。：2018/04/15(日) 02:24:33.19 ID:k3sI38v30.net: >>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話
22：名無しさん＠涙目です。：2018/04/15(日) 02:31:22.42 ID:ApmCrJuv0.net: >>19
漏れたの気づけたら苦労しないだろｗ
25：名無しさん＠涙目です。：2018/04/15(日) 02:34:18.37 ID:lOjzoGKG0.net: >>22
そう、気づけないからこそ定期的にパスワード変更して、悪される期間を短くするようにするべきだと思うんです。
13：名無しさん＠涙目です。：2018/04/15(日) 02:21:21.83 ID:lOjzoGKG0.net: パスワード変更は意味がないって主張どういう根拠で言ってるんだ？
18：ボックス ：2018/04/15(日) 02:24:32.52 ID:apYI8ahe0.net: >>13
8桁パスワードで考えた場合

10年間変えず破られる確率と
毎秒変えて破られる確率の差

0.000001% だから

ソースは日経コンピュータ2014年10.16号
20：名無しさん＠涙目です。：2018/04/15(日) 02:29:24.17 ID:lOjzoGKG0.net: >>18
人為的なミスで意図せず漏れる事が無かった場合の確率ということだよね。たぶん。
27：名無しさん＠涙目です。：2018/04/15(日) 02:35:47.97 ID:ENja+vG30.net: 漏れて不正アクセスされた時点でアウトだから無意味だよｗ
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか？ｗ
42：名無しさん＠涙目です。：2018/04/15(日) 02:45:10.15 ID:VCXtXDh+0.net: × 定期的なパスワード変更は意味が無い
○ 定期的なパスワード変更を強制するとユーザーが破られやすい簡単なパスワードやほかのサービスと共通のパスワードを使いまわすことが多くなり総体としての安全性向上にならない

・パスワードの使い回しは絶対にやめましょう
・類推や総当たりで破られにくくするためになるべく複雑で十分な長さのパスワードを使いましょう　特に長さはちょい手間の割に有効
・当たり前だけど流出した可能性があるパスワードはできるだけ早く変更しましょう
58：名無しさん＠涙目です。：2018/04/15(日) 02:52:20.45 ID:lOjzoGKG0.net: 漏れたパスワードを変更したらそのパスワードでログイン出来なくなるのに、
全く意味がない、という理屈が全く分からない。

ただ、生体認証やカード認証はなるほどと思いました。
61：名無しさん＠涙目です。：2018/04/15(日) 02:53:33.90 ID:BXjDQ+tA0.net: >>58
じゃあパスワード漏れたら危ないから毎日パスワード変更するようにしよう(極論)
60：名無しさん＠涙目です。：2018/04/15(日) 02:53:16.19 ID:6uOBAuLU0.net: ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ
90：名無しさん＠涙目です。：2018/04/15(日) 03:09:24.30 ID:cyqgyeRT0.net: パスワード認証の生みの親が
この方法はもうダメぽ
って言ってたからな

複数の長いパスワードは凡人の脳では管理できん
97：名無しさん＠涙目です。：2018/04/15(日) 03:12:30.15 ID:Vd9fPXRt0.net: 英数字の組み合わせ強要はまだ許せる
それにくわえて大文字小文字混在許容は許せん
107：名無しさん＠涙目です。：2018/04/15(日) 03:19:01.30 ID:mpnwRYm40.net: >>97
むしろ、こちらは強固なパスワードを用意してるのに
英数だけで記号をつかわせないとか9桁までとか変に弱い方に制限を掛けてるのが許せない
120：名無しさん＠涙目です。：2018/04/15(日) 03:29:06.40 ID:Ot5AX8dE0.net: >>97
sshのマニュアルでは15年以上前からパスフレーズを使えって書いてるのに
いまだにパスワードの長さは20文字以下とかのシステムがはびこってて
そのくせ文字種だけ多くしろとかバカにしたような作り
121：名無しさん＠涙目です。：2018/04/15(日) 03:32:03.81 ID:mh+FldXk0.net: パスワードの変更なんてセキュリティ的になんか意味あると思えないんだが

それより怪しいサイトを利用しないとか
変なURL踏まないとか
メモで見えるところにはっておかないとか

そっちの方が大事な気がするわ
変える事で覚えずにメモそこら辺にある方がよっぽどあぶねえよ
126：名無しさん＠涙目です。：2018/04/15(日) 03:40:17.55 ID:zERBKY5p0.net: PCにテキストファイルでメモするのが1番だよ
それが見られるような事態なら既にもうダメでしょう
127：名無しさん＠涙目です。：2018/04/15(日) 03:41:41.75 ID:bUJUt9J80.net: パスワードを3回間違えるとログインできない設定にしてるのに頻繁にパスワード変えるって意味あるのか
3回以内にログインされる可能性があるから頻繁に変えるのか
それ変えても3回以内でログインされるなら危険度変わらなくないか
134：名無しさん＠涙目です。：2018/04/15(日) 03:46:39.29 ID:fmprTNNo0.net: 浮気してる奴　スマホは指紋認証はやめておけよ
寝てる間に指使われて認証突破されてlineチェック喰らうからな
144：名無しさん＠涙目です。：2018/04/15(日) 03:54:13.43 ID:k3sI38v30.net: 見直される可能性？多分ないね
＋ワンタイムパスが定期変更の進化系だから
163：名無しさん＠涙目です。：2018/04/15(日) 04:44:54.86 ID:a27cYZJu0.net: この話が真実だとしたら、頭の固い一般社員が偶々システム部門に配置されて
引き継ぎ受けたとおり、何も考えずに月イチパス更新をさせてるだけなんだろう
167：名無しさん＠涙目です。：2018/04/15(日) 05:14:40.92 ID:ttvSZ59I0.net: 流出させないこと
他人が推測できないこと
機械の総当たりに当たらないこと
漏れた気がしたら変更すること
が重要で何日毎に変えろって全く意味がない
171：名無しさん＠涙目です。：2018/04/15(日) 05:29:07.21 ID:JJPkJ4tq0.net: >>167
パスワードを破られるかどうか？に関しては、定期的な変更に意味はないよな。
でも、破られた後長期に居座られるリスクに関しては、定期的な変更が意味をもつ場合もあるかも
211：名無しさん＠涙目です。：2018/04/15(日) 07:32:39.74 ID:yy9H3nAK0.net: うちは色んなシステムを外注に出した結果、業務で使うIDパスワードが必要なサイトが10個超えた。
ほんといい加減にして欲しいわ、どいつもこいつもIDIDうるせえw
228：名無しさん＠涙目です。：2018/04/15(日) 07:52:12.58 ID:BbPiq++z0.net: 変えることに越したことはないけど
大半の人間はパスワード変更による手間を掛けるのが難しいことを認識しないとあかんわな
233：名無しさん＠涙目です。：2018/04/15(日) 07:56:36.11 ID:oZbILgzZ0.net: 月一で変更して覚えきれなくて失効とか本末転倒だよな。
272：名無しさん＠涙目です。：2018/04/15(日) 08:44:37.22 ID:X2IeZ7B80.net: 最近の英大小＋記号＋数字組合せで8桁以上ってパス
暗記不能だからテキストエディタに変更した日付とパス貼り付けて
そこから都度コピペして使ってるわ
みんなあれどうやって管理してるんだよ
234：名無しさん＠涙目です。：2018/04/15(日) 07:57:52.25 ID:oZFpmErI0.net: 月１変更強いられるなら、いつものパスワードに月の数字追加したら？
236：名無しさん＠涙目です。：2018/04/15(日) 08:03:04.01 ID:QV4hlvDL0.net: >>234
セキュリティ担当だけ覚えていればいいなら、これでいいよね
241：名無しさん＠涙目です。：2018/04/15(日) 08:11:22.06 ID:paXFaIqV0.net: うちの課長はパスワードは複雑だし、月一で変えてるけど、そのパスワードをモニターの
横に貼り付けてる。