1:名無しさん@涙目です。:2018/04/15(日) 02:08:28.17 ID:shpnhuow0●.net



 

インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。

たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

http://news.livedoor.com/article/detail/14579258/



44:名無しさん@涙目です。:2018/04/15(日) 02:46:09.19 ID:k3sI38v30.net
定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな

158:名無しさん@涙目です。:2018/04/15(日) 04:23:43.84 ID:Zmk61WFX0.net
指紋認証が確実だろ。

186:名無しさん@涙目です。:2018/04/15(日) 06:17:11.83 ID:qsHsZ8j60.net
>>158
webシステムへの変更と指紋認証の「廃止」を同時に行ったアホな会社を知っている






4:名無しさん@涙目です。:2018/04/15(日) 02:11:01.77 ID:blgrF3S00.net
パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる

5:名無しさん@涙目です。:2018/04/15(日) 02:12:24.20 ID:ORsX7fUk0.net
そもそも覚えられるパスワードは安全ではない

316:名無しさん@涙目です。:2018/04/15(日) 09:57:09.87 ID:pgnidzlJ0.net
>>5
簡単だよ
日本語の単語や熟語をローマ字読みしたものを3つ4つつなげればいい
文字種を増やすことによる複雑さよりも、十分な文字列長を確保することが大事

6:名無しさん@涙目です。:2018/04/15(日) 02:14:55.69 ID:k3sI38v30.net
アホ「パスワード忘れたんで教えてください」
管理者の俺「いや、俺も知らない」

8:名無しさん@涙目です。:2018/04/15(日) 02:15:54.36 ID:Ot5AX8dE0.net
月一で変更とかセキュリティ担当の責任回避が目的だろ

12:名無しさん@涙目です。:2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0.net
パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。

19:名無しさん@涙目です。:2018/04/15(日) 02:24:33.19 ID:k3sI38v30.net
>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話

22:名無しさん@涙目です。:2018/04/15(日) 02:31:22.42 ID:ApmCrJuv0.net
>>19
漏れたの気づけたら苦労しないだろw

25:名無しさん@涙目です。:2018/04/15(日) 02:34:18.37 ID:lOjzoGKG0.net
>>22
そう、気づけないからこそ定期的にパスワード変更して、悪される期間を短くするようにするべきだと思うんです。

13:名無しさん@涙目です。:2018/04/15(日) 02:21:21.83 ID:lOjzoGKG0.net
パスワード変更は意味がないって主張どういう根拠で言ってるんだ?

18:ボックス :2018/04/15(日) 02:24:32.52 ID:apYI8ahe0.net
>>13
8桁パスワードで考えた場合

10年間変えず破られる確率と
毎秒変えて破られる確率の差

0.000001% だから

ソースは日経コンピュータ2014年10.16号

20:名無しさん@涙目です。:2018/04/15(日) 02:29:24.17 ID:lOjzoGKG0.net
>>18
人為的なミスで意図せず漏れる事が無かった場合の確率ということだよね。たぶん。

27:名無しさん@涙目です。:2018/04/15(日) 02:35:47.97 ID:ENja+vG30.net
漏れて不正アクセスされた時点でアウトだから無意味だよw
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか?w

42:名無しさん@涙目です。:2018/04/15(日) 02:45:10.15 ID:VCXtXDh+0.net
× 定期的なパスワード変更は意味が無い
○ 定期的なパスワード変更を強制するとユーザーが破られやすい簡単なパスワードやほかのサービスと共通のパスワードを使いまわすことが多くなり総体としての安全性向上にならない

・パスワードの使い回しは絶対にやめましょう
・類推や総当たりで破られにくくするためになるべく複雑で十分な長さのパスワードを使いましょう 特に長さはちょい手間の割に有効
・当たり前だけど流出した可能性があるパスワードはできるだけ早く変更しましょう

58:名無しさん@涙目です。:2018/04/15(日) 02:52:20.45 ID:lOjzoGKG0.net
漏れたパスワードを変更したらそのパスワードでログイン出来なくなるのに、
全く意味がない、という理屈が全く分からない。

ただ、生体認証やカード認証はなるほどと思いました。

61:名無しさん@涙目です。:2018/04/15(日) 02:53:33.90 ID:BXjDQ+tA0.net
>>58
じゃあパスワード漏れたら危ないから毎日パスワード変更するようにしよう(極論)

60:名無しさん@涙目です。:2018/04/15(日) 02:53:16.19 ID:6uOBAuLU0.net
ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ

90:名無しさん@涙目です。:2018/04/15(日) 03:09:24.30 ID:cyqgyeRT0.net
パスワード認証の生みの親が
この方法はもうダメぽ
って言ってたからな

複数の長いパスワードは凡人の脳では管理できん

97:名無しさん@涙目です。:2018/04/15(日) 03:12:30.15 ID:Vd9fPXRt0.net
英数字の組み合わせ強要はまだ許せる
それにくわえて大文字小文字混在許容は許せん

107:名無しさん@涙目です。:2018/04/15(日) 03:19:01.30 ID:mpnwRYm40.net
>>97
むしろ、こちらは強固なパスワードを用意してるのに
英数だけで記号をつかわせないとか9桁までとか変に弱い方に制限を掛けてるのが許せない

120:名無しさん@涙目です。:2018/04/15(日) 03:29:06.40 ID:Ot5AX8dE0.net
>>97
sshのマニュアルでは15年以上前からパスフレーズを使えって書いてるのに
いまだにパスワードの長さは20文字以下とかのシステムがはびこってて
そのくせ文字種だけ多くしろとかバカにしたような作り

121:名無しさん@涙目です。:2018/04/15(日) 03:32:03.81 ID:mh+FldXk0.net
パスワードの変更なんてセキュリティ的になんか意味あると思えないんだが

それより怪しいサイトを利用しないとか
変なURL踏まないとか
メモで見えるところにはっておかないとか

そっちの方が大事な気がするわ
変える事で覚えずにメモそこら辺にある方がよっぽどあぶねえよ

126:名無しさん@涙目です。:2018/04/15(日) 03:40:17.55 ID:zERBKY5p0.net
PCにテキストファイルでメモするのが1番だよ
それが見られるような事態なら既にもうダメでしょう

127:名無しさん@涙目です。:2018/04/15(日) 03:41:41.75 ID:bUJUt9J80.net
パスワードを3回間違えるとログインできない設定にしてるのに頻繁にパスワード変えるって意味あるのか
3回以内にログインされる可能性があるから頻繁に変えるのか
それ変えても3回以内でログインされるなら危険度変わらなくないか

134:名無しさん@涙目です。:2018/04/15(日) 03:46:39.29 ID:fmprTNNo0.net
浮気してる奴 スマホは指紋認証はやめておけよ
寝てる間に指使われて認証突破されてlineチェック喰らうからな

144:名無しさん@涙目です。:2018/04/15(日) 03:54:13.43 ID:k3sI38v30.net
見直される可能性?多分ないね
+ワンタイムパスが定期変更の進化系だから

163:名無しさん@涙目です。:2018/04/15(日) 04:44:54.86 ID:a27cYZJu0.net
この話が真実だとしたら、頭の固い一般社員が偶々システム部門に配置されて
引き継ぎ受けたとおり、何も考えずに月イチパス更新をさせてるだけなんだろう

167:名無しさん@涙目です。:2018/04/15(日) 05:14:40.92 ID:ttvSZ59I0.net
流出させないこと
他人が推測できないこと
機械の総当たりに当たらないこと
漏れた気がしたら変更すること
が重要で何日毎に変えろって全く意味がない

171:名無しさん@涙目です。:2018/04/15(日) 05:29:07.21 ID:JJPkJ4tq0.net
>>167
パスワードを破られるかどうか?に関しては、定期的な変更に意味はないよな。
でも、破られた後長期に居座られるリスクに関しては、定期的な変更が意味をもつ場合もあるかも

211:名無しさん@涙目です。:2018/04/15(日) 07:32:39.74 ID:yy9H3nAK0.net
うちは色んなシステムを外注に出した結果、業務で使うIDパスワードが必要なサイトが10個超えた。
ほんといい加減にして欲しいわ、どいつもこいつもIDIDうるせえw

228:名無しさん@涙目です。:2018/04/15(日) 07:52:12.58 ID:BbPiq++z0.net
変えることに越したことはないけど
大半の人間はパスワード変更による手間を掛けるのが難しいことを認識しないとあかんわな

233:名無しさん@涙目です。:2018/04/15(日) 07:56:36.11 ID:oZbILgzZ0.net
月一で変更して覚えきれなくて失効とか本末転倒だよな。

272:名無しさん@涙目です。:2018/04/15(日) 08:44:37.22 ID:X2IeZ7B80.net
最近の英大小+記号+数字組合せで8桁以上ってパス
暗記不能だからテキストエディタに変更した日付とパス貼り付けて
そこから都度コピペして使ってるわ
みんなあれどうやって管理してるんだよ

234:名無しさん@涙目です。:2018/04/15(日) 07:57:52.25 ID:oZFpmErI0.net
月1変更強いられるなら、いつものパスワードに月の数字追加したら?

236:名無しさん@涙目です。:2018/04/15(日) 08:03:04.01 ID:QV4hlvDL0.net
>>234
セキュリティ担当だけ覚えていればいいなら、これでいいよね

241:名無しさん@涙目です。:2018/04/15(日) 08:11:22.06 ID:paXFaIqV0.net
うちの課長はパスワードは複雑だし、月一で変えてるけど、そのパスワードをモニターの
横に貼り付けてる。

おすすめ


元スレ : http://hayabusa3.2ch.sc/test/read.cgi/news/1523725708/



【悲報】総務省「パスワードを定期的に変えるのは危険です。やめましょう」

ワイ「パスワード忘れた」バカ「秘密の質問!」