セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ!」

・ω・

インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

※下記リンクより、一部抜粋。続きはソースで
http://news.livedoor.com/article/detail/14579258/




                   



feedly

3名無しさん@涙目です。2018/04/15(日) 02:10:26.32ID:XAZRZFcD0.net

パズワードはパスワードです


8名無しさん@涙目です。2018/04/15(日) 02:15:54.36ID:Ot5AX8dE0.net

月一で変更とかセキュリティ担当の責任回避が目的だろ


11名無しさん@涙目です。2018/04/15(日) 02:17:30.30ID:Sr5dvi9c0.net

この手の奴がパスワードマネージャーはじくフォーム作るんだろうか


54名無しさん@涙目です。2018/04/15(日) 02:51:00.51ID:pcnV3mm+0.net

俺のgoogleのパス38桁あった


67名無しさん@涙目です。2018/04/15(日) 02:57:04.27ID:89GSJj3N0.net

発言小町だろ?女にパスワード覚えられるかよ?そりゃ発狂するわ


69名無しさん@涙目です。2018/04/15(日) 02:58:11.63ID:7CWkZhL40.net

いや、もうパスワード変えるのは古いからw


74名無しさん@涙目です。2018/04/15(日) 02:59:43.20ID:yPL9ctPA0.net

小町で踊るな


75名無しさん@涙目です。2018/04/15(日) 02:59:45.68ID:CpcoBCeF0.net

いつも見てるぞ


76名無しさん@涙目です。2018/04/15(日) 03:00:10.75ID:NEl+cZuw0.net

USBの指紋認証のやつ付けてやれよ




80名無しさん@涙目です。2018/04/15(日) 03:02:53.46ID:9SQXkwQs0.net

1ヶ月って10年前の知識かよ


92名無しさん@涙目です。2018/04/15(日) 03:10:05.07ID:k3sI38v30.net

侵入された場合端末にも何かしら異変が起こるはずなんだけどそれに気づかないユーザーもどうかと思うね


96名無しさん@涙目です。2018/04/15(日) 03:11:40.32ID:6uOBAuLU0.net

キーロガー仕掛けられたらパスワード変えれば変えるだけ法則性ばれて携帯や銀行のパスワードまで推測されかねない


109名無しさん@涙目です。2018/04/15(日) 03:19:21.43ID:lOjzoGKG0.net

生体認証系はまだ筋が良いかもとは思います。目の網膜の認証とか出来れば寝てる時でも使われにくい。


115名無しさん@涙目です。2018/04/15(日) 03:23:59.96ID:k3sI38v30.net

まぁパスワード+ワンタイムパスの組み合わせが普及したからってのもあるんだろうね


122名無しさん@涙目です。2018/04/15(日) 03:34:18.81ID:5BXADJta0.net

要は歩いててもベンチに座ってても隕石に当たる確率は同じということ


166名無しさん@涙目です。2018/04/15(日) 05:14:10.71ID:dJ9VDl4y0.net

下手に簡単なパスが使われるなら、定期的な変更は推奨しない方針にNISTのガイドラインも変わったからねえ


187名無しさん@涙目です。2018/04/15(日) 06:20:47.22ID:DUmvZ/Qr0.net

時代遅れの情シスさん


4名無しさん@涙目です。2018/04/15(日) 02:11:01.77ID:blgrF3S00.net

パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる


5名無しさん@涙目です。2018/04/15(日) 02:12:24.20ID:ORsX7fUk0.net

そもそも覚えられるパスワードは安全ではない


37名無しさん@涙目です。2018/04/15(日) 02:43:04.21ID:mpnwRYm40.net

>>5
英数記号16桁は手が覚える
おそらく24桁も行ける
8桁の組み合わせだと思えば意外とちょろい


6名無しさん@涙目です。2018/04/15(日) 02:14:55.69ID:k3sI38v30.net

アホ「パスワード忘れたんで教えてください」
管理者の俺「いや、俺も知らない」


7名無しさん@涙目です。2018/04/15(日) 02:14:56.90ID:6bb93f6U0.net

パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ


9名無しさん@涙目です。2018/04/15(日) 02:16:16.29ID:D1P9YZJS0.net

俺が使ってる法人向けネットバンキングは3カ月毎に2種類のパスワードを変更しないといけない
しかも過去に使ったパスワードは不可だから紙にメモして残してる
さらにワンタイムパスワードも必要だからめんどくさい


12名無しさん@涙目です。2018/04/15(日) 02:20:14.24ID:lOjzoGKG0.net

パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。




19名無しさん@涙目です。2018/04/15(日) 02:24:33.19ID:k3sI38v30.net

>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話


22名無しさん@涙目です。2018/04/15(日) 02:31:22.42ID:ApmCrJuv0.net

>>19
漏れたの気づけたら苦労しないだろw


117名無しさん@涙目です。2018/04/15(日) 03:24:16.97ID:bUJUt9J80.net

>>22
ログイン履歴残らないの?


25名無しさん@涙目です。2018/04/15(日) 02:34:18.37ID:lOjzoGKG0.net

>>22
そう、気づけないからこそ定期的にパスワード変更して、悪される期間を短くするようにするべきだと思うんです。


13名無しさん@涙目です。2018/04/15(日) 02:21:21.83ID:lOjzoGKG0.net

パスワード変更は意味がないって主張どういう根拠で言ってるんだ?


18ボックス2018/04/15(日) 02:24:32.52ID:apYI8ahe0.net

>>13
8桁パスワードで考えた場合

10年間変えず破られる確率と
毎秒変えて破られる確率の差

0.000001% だから

ソースは日経コンピュータ2014年10.16号


16名無しさん@涙目です。2018/04/15(日) 02:22:51.48ID:UVDjEOep0.net

頻繁に入力するパスワードなら覚えられるけどな
この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ


21ボックス2018/04/15(日) 02:29:42.42ID:apYI8ahe0.net

>>16
どこに毎日使うシステムって書いてあるよ?
ログインだから毎日?
じゃあおめー、今まで作ったログインするシステム、フリーメールやプロバイダメールとか、ヤフーや楽天やアマゾン、毎日全部手動でログインしてるのかよ?


27名無しさん@涙目です。2018/04/15(日) 02:35:47.97ID:ENja+vG30.net

漏れて不正アクセスされた時点でアウトだから無意味だよw
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか?w


32名無しさん@涙目です。2018/04/15(日) 02:38:53.36ID:lOjzoGKG0.net

>>27
何か盗まれるとかそんな分かりやすいものじゃなくて、社内の機密情報閲覧され続けるって可能性もあるじゃない。


43名無しさん@涙目です。2018/04/15(日) 02:45:33.77ID:BXjDQ+tA0.net

>>32
パスワードだけじゃなく社外からの不正アクセス検知機構とか、
パスワード漏れた場合にすぐ判別出来る仕組みとか、
関係者以外が必要以上の機密情報にアクセス出来ない仕組みとか、
情報漏れたときにすぐに把握出来る仕組みとかで多重構造的に守る仕組みが必要ってのが今のセキュリティーのあり方らしいぞ


34名無しさん@涙目です。2018/04/15(日) 02:41:17.16ID:ENja+vG30.net

>>32
社内の機密情報(笑)の場合、全員が一斉に変える訳では無いのだから「定期的に買えても」他の誰かがいるw
そもそも、不正アクセスに気づかず情報抜かれ放題な時点でアウトだwww


48名無しさん@涙目です。2018/04/15(日) 02:47:53.71ID:lOjzoGKG0.net

>>34
全員が同じパスワード使ってるわけじゃないんだからみんな一斉に変わらなくても別に良くないですか?

不正アクセスに気づかず情報抜かれ放題な時点でアウトという意見はそこそこ同意なんだけど、だからこそそういうアウトな状態になったとしても、そんな状態を少なくするようにするべきかと。

究極的にはリモートから会社にアクセスできないようにするしかないけど、そんなことしたらリモートワークできない。


28名無しさん@涙目です。2018/04/15(日) 02:36:09.08ID:KxPdQPDk0.net

アクセスされた痕跡確認の方が大事なんじゃねーのかな


169名無しさん@涙目です。2018/04/15(日) 05:20:38.54ID:ttvSZ59I0.net

>>28
普段と違う端末からのログインを監視警告した方が有効ね


29名無しさん@涙目です。2018/04/15(日) 02:36:56.55ID:V0gF5NvX0.net

入り口はカードロックあるんだから、社外ログインさえはじけばパスワード変更なんか要らんと思うがなあ
情シって暇なんだろうな自分らで仕事作り出して人の邪魔する部門


51名無しさん@涙目です。2018/04/15(日) 02:48:43.28ID:RdTqEBGQ0.net

>>29
本当に恐ろしいのは内部犯よ
人事情報を覗きたい。役職者になりすましてメール送信
誤発注で嫌いな奴を失脚etc...etc...
ログは残るかもしれんが記録にある人間と操作した人間が同じと証明するにはどうする?
監視カメラか?それはそれで別問題に発展するが


64名無しさん@涙目です。2018/04/15(日) 02:55:51.58ID:V0gF5NvX0.net

>>51
そんな妄想に対応するためにセキュリティやってんのかよw
だからさー出入口のカードログでPCの持ち主は席に居ないの分かるだろー?w


176名無しさん@涙目です。2018/04/15(日) 05:52:24.30ID:z81TYEVR0.net

>>64
妄想もクソも実際の事例としてゴロゴロしとるが
セキュリティ皆無にしたら氾濫するだろな
今日から業務効率優先でログ取りませんー認証も不要ですーインターネットから社内システムに直で繋げられますーってか
アホアホの極みやな


73名無しさん@涙目です。2018/04/15(日) 02:58:55.31ID:6uOBAuLU0.net

>>64
さすがに危機意識低すぎ


35名無しさん@涙目です。2018/04/15(日) 02:41:21.80ID:lOjzoGKG0.net

定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの?


39名無しさん@涙目です。2018/04/15(日) 02:43:54.95ID:t9Fw9A9v0.net

>>35
セキュリティーは使う側に合わせるのが仕事だよ


46名無しさん@涙目です。2018/04/15(日) 02:47:16.27ID:ENja+vG30.net

>>35
お漏らしした時点で致命傷だから関係ないよw


52名無しさん@涙目です。2018/04/15(日) 02:49:50.74ID:mpnwRYm40.net

>>35
だから定期的にパスワードを変更することはなんらリスク低減にはならん
むしろそのリスクを増すというのが最近の潮流だって


58名無しさん@涙目です。2018/04/15(日) 02:52:20.45ID:lOjzoGKG0.net

漏れたパスワードを変更したらそのパスワードでログイン出来なくなるのに、
全く意味がない、という理屈が全く分からない。

ただ、生体認証やカード認証はなるほどと思いました。


61名無しさん@涙目です。2018/04/15(日) 02:53:33.90ID:BXjDQ+tA0.net

>>58
じゃあパスワード漏れたら危ないから毎日パスワード変更するようにしよう(極論)


62名無しさん@涙目です。2018/04/15(日) 02:54:28.94ID:2KTTUZ9N0.net

>>61
いやそれは危険すぎる一時間毎に変えよう


87名無しさん@涙目です。2018/04/15(日) 03:07:28.70ID:CpcoBCeF0.net

指紋なんて指切り取られたら終わりじゃん


95名無しさん@涙目です。2018/04/15(日) 03:11:36.16ID:/OvAmzf+0.net

>>87
この種の非現実的な妄想でリスクを語るバカが一番アホ。

銀行ATMで指や手のひらで静脈認証が行わなれるようになってから
何件切り落とし事案があったよ?
眼球の静脈認証が高度なセキュリティ施設で行われるようになって
目玉繰り出し事案が何件あったよ。

重度の障害・殺さなければ突破できないセキュリティは
ほぼ突破できないと同義。
それがわからないラノベ脳はもうすこしリアルな「人間」と向き合うべき。


99名無しさん@涙目です。2018/04/15(日) 03:13:47.14ID:yzRTAs4m0.net

>>95
でも寝てるときに読み込ませるというのは多いみたいじゃない


90名無しさん@涙目です。2018/04/15(日) 03:09:24.30ID:cyqgyeRT0.net

パスワード認証の生みの親が
この方法はもうダメぽ
って言ってたからな

複数の長いパスワードは凡人の脳では管理できん


91名無しさん@涙目です。2018/04/15(日) 03:09:25.13ID:kdl5u2Qw0.net

パスワード月イチ変更はアメリカのセキュリティ専門家が言い出して政府機関の標準に採用されて広まったんだがあれは誤りだったって何年も前に改められている


97名無しさん@涙目です。2018/04/15(日) 03:12:30.15ID:Vd9fPXRt0.net

英数字の組み合わせ強要はまだ許せる
それにくわえて大文字小文字混在許容は許せん


107名無しさん@涙目です。2018/04/15(日) 03:19:01.30ID:mpnwRYm40.net

>>97
むしろ、こちらは強固なパスワードを用意してるのに
英数だけで記号をつかわせないとか9桁までとか変に弱い方に制限を掛けてるのが許せない


120名無しさん@涙目です。2018/04/15(日) 03:29:06.40ID:Ot5AX8dE0.net

>>97
sshのマニュアルでは15年以上前からパスフレーズを使えって書いてるのに
いまだにパスワードの長さは20文字以下とかのシステムがはびこってて
そのくせ文字種だけ多くしろとかバカにしたような作り


104名無しさん@涙目です。2018/04/15(日) 03:17:00.53ID:lOjzoGKG0.net

どんなに堅牢なシステムができてもインシデントの半分以上が人為的なミスから起こるって社内研修で新卒が習うことなのに、
システム面の話ばっかりで人為的な事を考慮せず話する人ってどうなんだろうと思うんです。


108名無しさん@涙目です。2018/04/15(日) 03:19:06.57ID:BXjDQ+tA0.net

>>104
パスワードだけでセキュリティーの問題を何でもかんでも解決しようとするな!
それは怠け者と同義だぞ!!
きちんとセキュリティー対応しろバカたれが


2名無しさん@涙目です。2018/04/15(日) 02:10:12.79ID:VCXtXDh+0.net

> 話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。

終了


17名無しさん@涙目です。2018/04/15(日) 02:23:04.11ID:+uktiLS00.net

>>2
これ







26