ネット

【ネット】セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ!」→炎上

投稿日:

1: i 2018/04/15(日) 02:08:28.17 ID:shpnhuow0● BE:218927532-PLT(13121)

sssp://img.5ch.net/ico/nida.gif
インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。

たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

http://news.livedoor.com/article/detail/14579258/

4: i 2018/04/15(日) 02:11:01.77 ID:blgrF3S00
パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる

 

5: i 2018/04/15(日) 02:12:24.20 ID:ORsX7fUk0
そもそも覚えられるパスワードは安全ではない

 

7: i 2018/04/15(日) 02:14:56.90 ID:6bb93f6U0
パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ

 

8: i 2018/04/15(日) 02:15:54.36 ID:Ot5AX8dE0
月一で変更とかセキュリティ担当の責任回避が目的だろ

 

9: i 2018/04/15(日) 02:16:16.29 ID:D1P9YZJS0
俺が使ってる法人向けネットバンキングは3カ月毎に2種類のパスワードを変更しないといけない
しかも過去に使ったパスワードは不可だから紙にメモして残してる
さらにワンタイムパスワードも必要だからめんどくさい

 

12: i 2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0
パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。

 

19: i 2018/04/15(日) 02:24:33.19 ID:k3sI38v30
>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話

 

20: i 2018/04/15(日) 02:29:24.17 ID:lOjzoGKG0
>>19
漏れたら変えればよいって、漏れたことに気づいてない場合はどうするの?
パスワード変えなければ時間かけてゆっくり悪さされない?何かのファイルログインしてコピーしてもってかれたりとか。

 

40: i 2018/04/15(日) 02:44:21.49 ID:apYI8ahe0

>>20
だからパスワードなんて不安定なものじゃなく
生体認証やカード認証など、第三者には利用しにくいものが採用され始めてる

パスワードを使わざるを得ないものは確かに、人為的に漏れる場合があるので、

・人間が平文パスワードを脳内以外で管理しないようにする
・システム管理者で、共通パスワードを使わざるを得ない場合は、担当者に変更があった時に変える

などということを守る方が賢明

 

219: i 2018/04/15(日) 07:39:39.36 ID:8DjHvMt90

>>20
漏れたことに気づかせるシステムが無いのが不思議。

googleなら新しい端末からのログインは通知される。
lineでも同じように通知される。

同じ端末からだと侵入は分からないが、カメラを使用してログイン時の顔を撮影する方法もある。

紙に残すやり方もそれなりに有効。紙を見つけられないとパスワードが漏れない。簡単なパスワードを覚えて、それに記号を足す定期的変更法もある。紙には二文字しか書かないし、パスワードそのものではないので見られても平気。

 

22: i 2018/04/15(日) 02:31:22.42 ID:ApmCrJuv0
>>19
漏れたの気づけたら苦労しないだろw

 

25: i 2018/04/15(日) 02:34:18.37 ID:lOjzoGKG0
>>22
そう、気づけないからこそ定期的にパスワード変更して、悪される期間を短くするようにするべきだと思うんです。

 

117: i 2018/04/15(日) 03:24:16.97 ID:bUJUt9J80
>>22
ログイン履歴残らないの?

 

227: i 2018/04/15(日) 07:52:09.41 ID:+iMh7vBm0
>>117
ログインされてからじゃ遅いだろw

 

14: i 2018/04/15(日) 02:21:25.62 ID:apYI8ahe0

>>1
> パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。

これも、提言してた人が
ほとんど意味なかったわ。桁数が多い方がいいわ。

って言ってなかったっけ

 

16: i 2018/04/15(日) 02:22:51.48 ID:UVDjEOep0
頻繁に入力するパスワードなら覚えられるけどな
この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ

 

21: i 2018/04/15(日) 02:29:42.42 ID:apYI8ahe0
>>16
どこに毎日使うシステムって書いてあるよ?
ログインだから毎日?
じゃあおめー、今まで作ったログインするシステム、フリーメールやプロバイダメールとか、ヤフーや楽天やアマゾン、毎日全部手動でログインしてるのかよ?

 

26: i 2018/04/15(日) 02:35:40.01 ID:lOjzoGKG0
>>21
じゃあ毎日使うログインパスワードなんかは変える意味はあるということで良いですか?

 

28: i 2018/04/15(日) 02:36:09.08 ID:KxPdQPDk0
アクセスされた痕跡確認の方が大事なんじゃねーのかな

 

169: i 2018/04/15(日) 05:20:38.54 ID:ttvSZ59I0
>>28
普段と違う端末からのログインを監視警告した方が有効ね

 

35: i 2018/04/15(日) 02:41:21.80 ID:lOjzoGKG0
定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの?

 

39: i 2018/04/15(日) 02:43:54.95 ID:t9Fw9A9v0
>>35
セキュリティーは使う側に合わせるのが仕事だよ

 

46: i 2018/04/15(日) 02:47:16.27 ID:ENja+vG30
>>35
お漏らしした時点で致命傷だから関係ないよw

 

52: i 2018/04/15(日) 02:49:50.74 ID:mpnwRYm40
>>35
だから定期的にパスワードを変更することはなんらリスク低減にはならん
むしろそのリスクを増すというのが最近の潮流だって

 

47: i 2018/04/15(日) 02:47:24.12 ID:tRtw+FSp0
一々新しいパスワードを自分で作って覚えて入力云々
一連の動作に妙にほとばしる人力感

 

53: i 2018/04/15(日) 02:50:27.13 ID:2KTTUZ9N0
パスワードの変更に効果はないよ今のセキュリティの常識
結局人が管理するから規則性が生まれるしランダムな文字列は覚えられない
いつの時代の話ししてんだか

 

54: i 2018/04/15(日) 02:51:00.51 ID:pcnV3mm+0
俺のgoogleのパス38桁あった

 

55: i 2018/04/15(日) 02:51:27.29 ID:ORsX7fUk0
漏洩対策なら1ヶ月毎の変更じゃ意味ないだろ
その目的なら1分毎に変えろ

 

58: i 2018/04/15(日) 02:52:20.45 ID:lOjzoGKG0

漏れたパスワードを変更したらそのパスワードでログイン出来なくなるのに、
全く意味がない、という理屈が全く分からない。

ただ、生体認証やカード認証はなるほどと思いました。

 

61: i 2018/04/15(日) 02:53:33.90 ID:BXjDQ+tA0
>>58
じゃあパスワード漏れたら危ないから毎日パスワード変更するようにしよう(極論)

 

62: i 2018/04/15(日) 02:54:28.94 ID:2KTTUZ9N0
>>61
いやそれは危険すぎる一時間毎に変えよう

 

60: i 2018/04/15(日) 02:53:16.19 ID:6uOBAuLU0
ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ

 

69: i 2018/04/15(日) 02:58:11.63 ID:7CWkZhL40
いや、もうパスワード変えるのは古いからw

 

76: i 2018/04/15(日) 03:00:10.75 ID:NEl+cZuw0
USBの指紋認証のやつ付けてやれよ

 

80: i 2018/04/15(日) 03:02:53.46 ID:9SQXkwQs0
1ヶ月って10年前の知識かよ

 

83: i 2018/04/15(日) 03:04:02.85 ID:k3sI38v30
まぁ仕事中鼻くそほじくりながらスマホゲーやってる管理者がいる会社は定期的に変えさせる方がいいのかもね
変えないより被害は減るでしょう。0.00何パーセントぐらい

 

引用元: http://hayabusa3.2ch.sc/test/read.cgi/news/1523725708/

-ネット

Copyright© iPhoneで遊ぶ夫 , 2018 AllRights Reserved Powered by AFFINGER4.