VIPエレキバン

セキュリティ担当者「パスワードの月1変更に対応できない社員は危機意識低すぎ」→炎上

   

インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、セキュリティ担当者が怒りの投稿、炎上ぎみの騒ぎを起こしているという。

話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の仕事ではないか」と、猛反発する声が大半。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
http://news.livedoor.com/article/detail/14579258/

4:名無しさん@涙目です。 2018/04/15(日) 02:11:01.77 ID:blgrF3S00.net

パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる

5:名無しさん@涙目です。 2018/04/15(日) 02:12:24.20 ID:ORsX7fUk0.net

そもそも覚えられるパスワードは安全ではない

37:名無しさん@涙目です。 2018/04/15(日) 02:43:04.21 ID:mpnwRYm40.net

>>5
英数記号16桁は手が覚える
おそらく24桁も行ける
8桁の組み合わせだと思えば意外とちょろい

7:名無しさん@涙目です。 2018/04/15(日) 02:14:56.90 ID:6bb93f6U0.net

パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ

8:名無しさん@涙目です。 2018/04/15(日) 02:15:54.36 ID:Ot5AX8dE0.net

月一で変更とかセキュリティ担当の責任回避が目的だろ

11:名無しさん@涙目です。 2018/04/15(日) 02:17:30.30 ID:Sr5dvi9c0.net

この手の奴がパスワードマネージャーはじくフォーム作るんだろうか

12:名無しさん@涙目です。 2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0.net

パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。

19:名無しさん@涙目です。 2018/04/15(日) 02:24:33.19 ID:k3sI38v30.net

>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話

20:名無しさん@涙目です。 2018/04/15(日) 02:29:24.17 ID:lOjzoGKG0.net

>>19
漏れたら変えればよいって、漏れたことに気づいてない場合はどうするの?
パスワード変えなければ時間かけてゆっくり悪さされない?何かのファイルログインしてコピーしてもってかれたりとか。

40:ボックス 2018/04/15(日) 02:44:21.49 ID:apYI8ahe0.net

>>20
だからパスワードなんて不安定なものじゃなく
生体認証やカード認証など、第三者には利用しにくいものが採用され始めてる

パスワードを使わざるを得ないものは確かに、人為的に漏れる場合があるので、

・人間が平文パスワードを脳内以外で管理しないようにする
・システム管理者で、共通パスワードを使わざるを得ない場合は、担当者に変更があった時に変える

などということを守る方が賢明

13:名無しさん@涙目です。 2018/04/15(日) 02:21:21.83 ID:lOjzoGKG0.net

パスワード変更は意味がないって主張どういう根拠で言ってるんだ?

18:ボックス 2018/04/15(日) 02:24:32.52 ID:apYI8ahe0.net

>>13
8桁パスワードで考えた場合

10年間変えず破られる確率と
毎秒変えて破られる確率の差

0.000001% だから

ソースは日経コンピュータ2014年10.16号

20:名無しさん@涙目です。 2018/04/15(日) 02:29:24.17 ID:lOjzoGKG0.net

>>18
人為的なミスで意図せず漏れる事が無かった場合の確率ということだよね。たぶん。

16:名無しさん@涙目です。 2018/04/15(日) 02:22:51.48 ID:UVDjEOep0.net

頻繁に入力するパスワードなら覚えられるけどな
この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ

29:名無しさん@涙目です。 2018/04/15(日) 02:36:56.55 ID:V0gF5NvX0.net

入り口はカードロックあるんだから、社外ログインさえはじけばパスワード変更なんか要らんと思うがなあ
情シって暇なんだろうな自分らで仕事作り出して人の邪魔する部門

51:名無しさん@涙目です。 2018/04/15(日) 02:48:43.28 ID:RdTqEBGQ0.net

>>29
本当に恐ろしいのは内部犯よ
人事情報を覗きたい。役職者になりすましてメール送信
誤発注で嫌いな奴を失脚etc…etc…
ログは残るかもしれんが記録にある人間と操作した人間が同じと証明するにはどうする?
監視カメラか?それはそれで別問題に発展するが

64:名無しさん@涙目です。 2018/04/15(日) 02:55:51.58 ID:V0gF5NvX0.net

>>51
そんな妄想に対応するためにセキュリティやってんのかよw
だからさー出入口のカードログでPCの持ち主は席に居ないの分かるだろー?w

73:名無しさん@涙目です。 2018/04/15(日) 02:58:55.31 ID:6uOBAuLU0.net

>>64
さすがに危機意識低すぎ

176:名無しさん@涙目です。 2018/04/15(日) 05:52:24.30 ID:z81TYEVR0.net

>>64
妄想もクソも実際の事例としてゴロゴロしとるが
セキュリティ皆無にしたら氾濫するだろな
今日から業務効率優先でログ取りませんー認証も不要ですーインターネットから社内システムに直で繋げられますーってか
アホアホの極みやな

30:名無しさん@涙目です。 2018/04/15(日) 02:37:20.15 ID:xiXxYevp0.net

そもそもパスワードを求められる場面が多すぎて
それぞれ違ったパスワードを月一で変更とか狂気でしかない
会社のPC(個人×1、店舗×2)、自宅のPC、スマホの起動パスワード
社内メール、社外メール、数値分析ソフト、各種電子申請用ソフト、商品発注システム、備品発注システム、作業用PDA端末ログイン
各種SNSアカウント、Amazonや動画音楽Webサービス

35:名無しさん@涙目です。 2018/04/15(日) 02:41:21.80 ID:lOjzoGKG0.net

定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの?

46:名無しさん@涙目です。 2018/04/15(日) 02:47:16.27 ID:ENja+vG30.net

>>35
お漏らしした時点で致命傷だから関係ないよw

52:名無しさん@涙目です。 2018/04/15(日) 02:49:50.74 ID:mpnwRYm40.net

>>35
だから定期的にパスワードを変更することはなんらリスク低減にはならん
むしろそのリスクを増すというのが最近の潮流だって

36:名無しさん@涙目です。 2018/04/15(日) 02:43:00.46 ID:t9Fw9A9v0.net

変えてセキュリティー効果上がる以上にユーザーが忘れるリスクがデカい
机上の空論でしかない

44:名無しさん@涙目です。 2018/04/15(日) 02:46:09.19 ID:k3sI38v30.net

定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな

53:名無しさん@涙目です。 2018/04/15(日) 02:50:27.13 ID:2KTTUZ9N0.net

パスワードの変更に効果はないよ今のセキュリティの常識
結局人が管理するから規則性が生まれるしランダムな文字列は覚えられない
いつの時代の話ししてんだか

55:名無しさん@涙目です。 2018/04/15(日) 02:51:27.29 ID:ORsX7fUk0.net

漏洩対策なら1ヶ月毎の変更じゃ意味ないだろ
その目的なら1分毎に変えろ

59:名無しさん@涙目です。 2018/04/15(日) 02:52:39.54 ID:2qoOkMZ70.net

漏れたらいうけど
漏れたらすぐにデータ見られるんだから
そのあと変えたところであんま変わらん気がするわ

60:名無しさん@涙目です。 2018/04/15(日) 02:53:16.19 ID:6uOBAuLU0.net

ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ

67:名無しさん@涙目です。 2018/04/15(日) 02:57:04.27 ID:89GSJj3N0.net

発言小町だろ?女にパスワード覚えられるかよ?そりゃ発狂するわ

71:名無しさん@涙目です。 2018/04/15(日) 02:58:41.39 ID:zRoNNs9O0.net

うちは去年まで1ヶ月ごとだったけど今年から3ヶ月ごとになって楽になった
まぁPCログインとメールとメイン業務ソフトと顧客DBと勤怠管理で
毎日5つもIDとパスワード打たなきゃならんけど

69:名無しさん@涙目です。 2018/04/15(日) 02:58:11.63 ID:7CWkZhL40.net

いや、もうパスワード変えるのは古いからw

80:名無しさん@涙目です。 2018/04/15(日) 03:02:53.46 ID:9SQXkwQs0.net

1ヶ月って10年前の知識かよ

90:名無しさん@涙目です。 2018/04/15(日) 03:09:24.30 ID:cyqgyeRT0.net

パスワード認証の生みの親が
この方法はもうダメぽ
って言ってたからな

複数の長いパスワードは凡人の脳では管理できん

91:名無しさん@涙目です。 2018/04/15(日) 03:09:25.13 ID:kdl5u2Qw0.net

パスワード月イチ変更はアメリカのセキュリティ専門家が言い出して政府機関の標準に採用されて広まったんだがあれは誤りだったって何年も前に改められている

94:名無しさん@涙目です。 2018/04/15(日) 03:11:11.43 ID:mpnwRYm40.net

>>90>>91
たぶんそういう歴史的な背景とかも知らないんだろうな
勉強不足だよ

103:名無しさん@涙目です。 2018/04/15(日) 03:16:56.99 ID:ztBzgm1j0.net

10文字くらいで頻繁に変えるくらいなら20文字のをずっと使うわ。
漏れたらそん時考える。不審なアクセスあると警告してくれる所多いしな

82:名無しさん@涙目です。 2018/04/15(日) 03:03:49.30 ID:pX3Awt710.net

一分でも侵入許したらバックドア仕掛けられて
それ以降、パスワード何回変えてもやりたい放題される

105:名無しさん@涙目です。 2018/04/15(日) 03:17:59.66 ID:LDLTPEWe0.net

結局、パスワードを複雑化してもどこかに今のパスワードを書いたメモを置くだけなんだよなぁ
ソーシャルハッキングの温床にしかならないわ

121:名無しさん@涙目です。 2018/04/15(日) 03:32:03.81 ID:mh+FldXk0.net

パスワードの変更なんてセキュリティ的になんか意味あると思えないんだが

それより怪しいサイトを利用しないとか
変なURL踏まないとか
メモで見えるところにはっておかないとか

そっちの方が大事な気がするわ
変える事で覚えずにメモそこら辺にある方がよっぽどあぶねえよ

166:名無しさん@涙目です。 2018/04/15(日) 05:14:10.71 ID:dJ9VDl4y0.net

下手に簡単なパスが使われるなら、定期的な変更は推奨しない方針にNISTのガイドラインも変わったからねえ

167:名無しさん@涙目です。 2018/04/15(日) 05:14:40.92 ID:ttvSZ59I0.net

流出させないこと
他人が推測できないこと
機械の総当たりに当たらないこと
漏れた気がしたら変更すること
が重要で何日毎に変えろって全く意味がない

元スレ: http://hayabusa3.2ch.sc/test/read.cgi/news/1523725708/

Password
セキュリティ

 - its