ta9484t8eaw4t8we9a498awe8

  

1: 名無しさん@涙目です。(愛知県) [DE] 2018/04/15(日) 02:08:28.17 ID:shpnhuow0● BE:218927532-PLT(13121)

インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。

「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。

会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。

「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の仕事ではないか」と、猛反発する声が大半。

たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。

パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

http://news.livedoor.com/article/detail/14579258/

3: 名無しさん@涙目です。(庭) [CA] 2018/04/15(日) 02:10:26.32 ID:XAZRZFcD0
パズワードはパスワードです

5: 名無しさん@涙目です。(dion軍) [KR] 2018/04/15(日) 02:12:24.20 ID:ORsX7fUk0
そもそも覚えられるパスワードは安全ではない

37: 名無しさん@涙目です。(長屋) [ニダ] 2018/04/15(日) 02:43:04.21 ID:mpnwRYm40
>>5
英数記号16桁は手が覚える
おそらく24桁も行ける
8桁の組み合わせだと思えば意外とちょろい

6: 名無しさん@涙目です。(関西地方) [US] 2018/04/15(日) 02:14:55.69 ID:k3sI38v30
アホ「パスワード忘れたんで教えてください」
管理者の俺「いや、俺も知らない」

292: 名無しさん@涙目です。(新疆ウイグル自治区) [JP] 2018/04/15(日) 09:10:37.01 ID:ri2Aj2sB0
>>6
アホ「それはそうと今夜一発やらねえか」

11: 名無しさん@涙目です。(catv?) [US] 2018/04/15(日) 02:17:30.30 ID:Sr5dvi9c0
この手の奴がパスワードマネージャーはじくフォーム作るんだろうか

12: 名無しさん@涙目です。(四国地方) [US] 2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0
パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。

19: 名無しさん@涙目です。(関西地方) [US] 2018/04/15(日) 02:24:33.19 ID:k3sI38v30
>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話

13: 名無しさん@涙目です。(四国地方) [US] 2018/04/15(日) 02:21:21.83 ID:lOjzoGKG0
パスワード変更は意味がないって主張どういう根拠で言ってるんだ?

18: ボックス ◆6iJaDSI5YU (神奈川県) [BO] 2018/04/15(日) 02:24:32.52 ID:apYI8ahe0
>>13
8桁パスワードで考えた場合

10年間変えず破られる確率と
毎秒変えて破られる確率の差

0.000001% だから

ソースは日経コンピュータ2014年10.16号

258: 名無しさん@涙目です。(チベット自治区) [AU] 2018/04/15(日) 08:26:59.15 ID:+M9CMKPk0
>>13
変更自体には意味はある
定期的なパスワード変更が無用なのは、一人だけがそのパスワードを使うケース

社内で複数の人間が同じパスワードを使うような場合は漏洩もしやすいし発覚しにくいから定期的にパスワード変更は有用

265: 名無しさん@涙目です。(長屋) [ニダ] 2018/04/15(日) 08:34:35.08 ID:mpnwRYm40
>>258
社内の複数人が同じパスワードを使い回すような運用がそもそも間違ってるし
そんなことをやってるならもはやそのシステムにパスワードは本当に必要なのかを疑った方がいい

267: 名無しさん@涙目です。(神奈川県) [CN] 2018/04/15(日) 08:35:02.94 ID:hIugW3IY0
>>258
パスワードの定期更新は必要ないとパスワードの世界標準を決めている米国政府機関のNISTが公式に決めたぞ

268: 名無しさん@涙目です。(東京都) [EG] 2018/04/15(日) 08:40:38.10 ID:IS3aTzx50
>>267
32桁にして1時間で忘れたわ

16: 名無しさん@涙目です。(catv?) [ニダ] 2018/04/15(日) 02:22:51.48 ID:UVDjEOep0
頻繁に入力するパスワードなら覚えられるけどな
この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ

27: 名無しさん@涙目です。(dion軍) [US] 2018/04/15(日) 02:35:47.97 ID:ENja+vG30
漏れて不正アクセスされた時点でアウトだから無意味だよw
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか?w

32: 名無しさん@涙目です。(四国地方) [US] 2018/04/15(日) 02:38:53.36 ID:lOjzoGKG0
>>27
何か盗まれるとかそんな分かりやすいものじゃなくて、社内の機密情報閲覧され続けるって可能性もあるじゃない。

34: 名無しさん@涙目です。(dion軍) [US] 2018/04/15(日) 02:41:17.16 ID:ENja+vG30
>>32
社内の機密情報(笑)の場合、全員が一斉に変える訳では無いのだから「定期的に買えても」他の誰かがいるw
そもそも、不正アクセスに気づかず情報抜かれ放題な時点でアウトだwww

48: 名無しさん@涙目です。(四国地方) [US] 2018/04/15(日) 02:47:53.71 ID:lOjzoGKG0
>>34
全員が同じパスワード使ってるわけじゃないんだからみんな一斉に変わらなくても別に良くないですか?

不正アクセスに気づかず情報抜かれ放題な時点でアウトという意見はそこそこ同意なんだけど、だからこそそういうアウトな状態になったとしても、そんな状態を少なくするようにするべきかと。

究極的にはリモートから会社にアクセスできないようにするしかないけど、そんなことしたらリモートワークできない。

43: 名無しさん@涙目です。(チベット自治区) [EU] 2018/04/15(日) 02:45:33.77 ID:BXjDQ+tA0
>>32
パスワードだけじゃなく社外からの不正アクセス検知機構とか、
パスワード漏れた場合にすぐ判別出来る仕組みとか、
関係者以外が必要以上の機密情報にアクセス出来ない仕組みとか、
情報漏れたときにすぐに把握出来る仕組みとかで多重構造的に守る仕組みが必要ってのが今のセキュリティーのあり方らしいぞ

35: 名無しさん@涙目です。(四国地方) [US] 2018/04/15(日) 02:41:21.80 ID:lOjzoGKG0
定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの?

39: 名無しさん@涙目です。(東京都) [US] 2018/04/15(日) 02:43:54.95 ID:t9Fw9A9v0
>>35
セキュリティーは使う側に合わせるのが仕事だよ

46: 名無しさん@涙目です。(dion軍) [US] 2018/04/15(日) 02:47:16.27 ID:ENja+vG30
>>35
お漏らしした時点で致命傷だから関係ないよw

52: 名無しさん@涙目です。(長屋) [ニダ] 2018/04/15(日) 02:49:50.74 ID:mpnwRYm40
>>35
だから定期的にパスワードを変更することはなんらリスク低減にはならん
むしろそのリスクを増すというのが最近の潮流だって

226: 名無しさん@涙目です。(神奈川県) [US] 2018/04/15(日) 07:51:23.28 ID:8DjHvMt90
>>35
パスワードを定期的に変えることよりも、普段とは異なる環境からログインされたときのログを残すことの方が重要。

60: 名無しさん@涙目です。(禿) [BR] 2018/04/15(日) 02:53:16.19 ID:6uOBAuLU0
ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ

69: 名無しさん@涙目です。(catv?) [ニダ] 2018/04/15(日) 02:58:11.63 ID:7CWkZhL40
いや、もうパスワード変えるのは古いからw

83: 名無しさん@涙目です。(関西地方) [US] 2018/04/15(日) 03:04:02.85 ID:k3sI38v30
まぁ仕事中鼻くそほじくりながらスマホゲーやってる管理者がいる会社は定期的に変えさせる方がいいのかもね
変えないより被害は減るでしょう。0.00何パーセントぐらい

121: 名無しさん@涙目です。(福岡県) [US] 2018/04/15(日) 03:32:03.81 ID:mh+FldXk0
パスワードの変更なんてセキュリティ的になんか意味あると思えないんだが

それより怪しいサイトを利用しないとか
変なURL踏まないとか
メモで見えるところにはっておかないとか

そっちの方が大事な気がするわ
変える事で覚えずにメモそこら辺にある方がよっぽどあぶねえよ


最後のレスの言うとおりだと思うは
変なサイトに行かないように気をつけるのが一番だと思う





[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

ペルソナダンシング オールスター・トリプルパック
価格:15495円(税込、送料無料) (2018/4/15時点)