ニュー即ブログν

ニュー即ブログν

この記事をシェアする!

セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ!」→炎上wwwwwww

この記事をシェアする!

1: 2018/04/15(日) 02:08:28.17 ID:shpnhuow0● BE:218927532-PLT(13121)

インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。

たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

「セキュリティ感覚の低さは病気としか…」社員批判がネットで炎上 - ライブドアニュース
会社のパソコンや銀行、アマゾンや楽天などの通販サイトに個人のスマートフォン...... 日常生活ではいくつものパスワードを使うが、全部覚えている人はどれだけいるだろうか。そのうえ、会社のセキュリティー担当か


14: 2018/04/15(日) 02:21:25.62 ID:apYI8ahe0

>>1
> パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。

これも、提言してた人が
ほとんど意味なかったわ。桁数が多い方がいいわ。

って言ってなかったっけ

2: 2018/04/15(日) 02:10:12.79 ID:VCXtXDh+0

> 話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。

終了

17: 2018/04/15(日) 02:23:04.11 ID:+uktiLS00
>>2
これ

3: 2018/04/15(日) 02:10:26.32 ID:XAZRZFcD0
パズワードはパスワードです

4: 2018/04/15(日) 02:11:01.77 ID:blgrF3S00
パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる

5: 2018/04/15(日) 02:12:24.20 ID:ORsX7fUk0
そもそも覚えられるパスワードは安全ではない

37: 2018/04/15(日) 02:43:04.21 ID:mpnwRYm40
>>5
英数記号16桁は手が覚える
おそらく24桁も行ける
8桁の組み合わせだと思えば意外とちょろい

6: 2018/04/15(日) 02:14:55.69 ID:k3sI38v30
アホ「パスワード忘れたんで教えてください」
管理者の俺「いや、俺も知らない」

7: 2018/04/15(日) 02:14:56.90 ID:6bb93f6U0
パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ

8: 2018/04/15(日) 02:15:54.36 ID:Ot5AX8dE0
月一で変更とかセキュリティ担当の責任回避が目的だろ

9: 2018/04/15(日) 02:16:16.29 ID:D1P9YZJS0
俺が使ってる法人向けネットバンキングは3カ月毎に2種類のパスワードを変更しないといけない
しかも過去に使ったパスワードは不可だから紙にメモして残してる
さらにワンタイムパスワードも必要だからめんどくさい

10: 2018/04/15(日) 02:16:28.29 ID:J4fu8i9L0
trustno1

11: 2018/04/15(日) 02:17:30.30 ID:Sr5dvi9c0
この手の奴がパスワードマネージャーはじくフォーム作るんだろうか
12: 2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0
パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。

19: 2018/04/15(日) 02:24:33.19 ID:k3sI38v30
>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話

22: 2018/04/15(日) 02:31:22.42 ID:ApmCrJuv0
>>19
漏れたの気づけたら苦労しないだろw

25: 2018/04/15(日) 02:34:18.37 ID:lOjzoGKG0
>>22
そう、気づけないからこそ定期的にパスワード変更して、悪される期間を短くするようにするべきだと思うんです。

117: 2018/04/15(日) 03:24:16.97 ID:bUJUt9J80
>>22
ログイン履歴残らないの?

13: 2018/04/15(日) 02:21:21.83 ID:lOjzoGKG0
パスワード変更は意味がないって主張どういう根拠で言ってるんだ?

18: 2018/04/15(日) 02:24:32.52 ID:apYI8ahe0

>>13
8桁パスワードで考えた場合

10年間変えず破られる確率と
毎秒変えて破られる確率の差

0.000001% だから

ソースは日経コンピュータ2014年10.16号

15: 2018/04/15(日) 02:21:41.74 ID:J6LBlBxF0

yamada0724545menma@3manen

こんなかんじで長いの作ればいい

引用元:http://hayabusa9.5ch.net/test/read.cgi/news/1523725708/

16: 2018/04/15(日) 02:22:51.48 ID:UVDjEOep0
頻繁に入力するパスワードなら覚えられるけどな
この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ

21: 2018/04/15(日) 02:29:42.42 ID:apYI8ahe0
>>16
どこに毎日使うシステムって書いてあるよ?
ログインだから毎日?
じゃあおめー、今まで作ったログインするシステム、フリーメールやプロバイダメールとか、ヤフーや楽天やアマゾン、毎日全部手動でログインしてるのかよ?

26: 2018/04/15(日) 02:35:40.01 ID:lOjzoGKG0
>>21
じゃあ毎日使うログインパスワードなんかは変える意味はあるということで良いですか?

56: 2018/04/15(日) 02:51:40.63 ID:apYI8ahe0

>>26
論理展開が意味不明なんだが?

毎日使うシステムであろうとなかろうと

8桁パスワードで考えた場合
10年間変えず破られる確率と
毎秒変えて破られる確率の差
0.000001% だから
定期的に変える意味はほとんどない
ソースは日経コンピュータ2014年10.16号

んなことより、パスワードを平文で保存することをやめたり、ログイン履歴を確認できたり、ログイン通知が飛ぶようにしたりする方が賢明

23: 2018/04/15(日) 02:32:06.75 ID:lOjzoGKG0
パスワード変えなければ気づかないまま漏れたパスワードで悪さをされ放題だけど、定期的なパスワード変更してれば、そのパスワード変更以降は少なくとも悪さされないじゃない。

33: 2018/04/15(日) 02:41:03.74 ID:BXjDQ+tA0

>>23
毎月パスワード変えれなんて言われたら普通は面倒臭いから適当なパスワード設定するだろ
tanaka001→tanaka002→tanaka003 みたいね

そんなヌルいパスワード設定される位ならきっちりした英語大文字小文字数字混じりのパスワードをずっと使ってもらう方が破られずらいってことよ
パスワード流出した場合はtanaka003とかなら正解パスワードすぐに推測されるし

38: 2018/04/15(日) 02:43:19.45 ID:lOjzoGKG0
>>33
というか、今時のシステムだと数字一つ変えたくらいだと前のパスワードと似てますって警告出て変更できなくない?
結構古いシステム使ってます?

41: 2018/04/15(日) 02:44:33.90 ID:mpnwRYm40
>>38
前のパスワードと似てると指摘できるってことは
パスワードは暗号化されず平文で保存されてるのかね?
そっちのほうが危なくね?

27: 2018/04/15(日) 02:35:47.97 ID:ENja+vG30
漏れて不正アクセスされた時点でアウトだから無意味だよw
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか?w

32: 2018/04/15(日) 02:38:53.36 ID:lOjzoGKG0
>>27
何か盗まれるとかそんな分かりやすいものじゃなくて、社内の機密情報閲覧され続けるって可能性もあるじゃない。

34: 2018/04/15(日) 02:41:17.16 ID:ENja+vG30
>>32
社内の機密情報(笑)の場合、全員が一斉に変える訳では無いのだから「定期的に買えても」他の誰かがいるw
そもそも、不正アクセスに気づかず情報抜かれ放題な時点でアウトだwww

48: 2018/04/15(日) 02:47:53.71 ID:lOjzoGKG0

>>34
全員が同じパスワード使ってるわけじゃないんだからみんな一斉に変わらなくても別に良くないですか?

不正アクセスに気づかず情報抜かれ放題な時点でアウトという意見はそこそこ同意なんだけど、だからこそそういうアウトな状態になったとしても、そんな状態を少なくするようにするべきかと。

究極的にはリモートから会社にアクセスできないようにするしかないけど、そんなことしたらリモートワークできない。

43: 2018/04/15(日) 02:45:33.77 ID:BXjDQ+tA0
>>32
パスワードだけじゃなく社外からの不正アクセス検知機構とか、
パスワード漏れた場合にすぐ判別出来る仕組みとか、
関係者以外が必要以上の機密情報にアクセス出来ない仕組みとか、
情報漏れたときにすぐに把握出来る仕組みとかで多重構造的に守る仕組みが必要ってのが今のセキュリティーのあり方らしいぞ
28: 2018/04/15(日) 02:36:09.08 ID:KxPdQPDk0
アクセスされた痕跡確認の方が大事なんじゃねーのかな

169: 2018/04/15(日) 05:20:38.54 ID:ttvSZ59I0
>>28
普段と違う端末からのログインを監視警告した方が有効ね

29: 2018/04/15(日) 02:36:56.55 ID:V0gF5NvX0
入り口はカードロックあるんだから、社外ログインさえはじけばパスワード変更なんか要らんと思うがなあ
情シって暇なんだろうな自分らで仕事作り出して人の邪魔する部門

51: 2018/04/15(日) 02:48:43.28 ID:RdTqEBGQ0
>>29
本当に恐ろしいのは内部犯よ
人事情報を覗きたい。役職者になりすましてメール送信
誤発注で嫌いな奴を失脚etc…etc…
ログは残るかもしれんが記録にある人間と操作した人間が同じと証明するにはどうする?
監視カメラか?それはそれで別問題に発展するが

64: 2018/04/15(日) 02:55:51.58 ID:V0gF5NvX0
>>51
そんな妄想に対応するためにセキュリティやってんのかよw
だからさー出入口のカードログでPCの持ち主は席に居ないの分かるだろー?w

73: 2018/04/15(日) 02:58:55.31 ID:6uOBAuLU0
>>64
さすがに危機意識低すぎ

86: 2018/04/15(日) 03:07:28.42 ID:apYI8ahe0
>>73
ICカード導入してるのに
席にいないはずの人間がPC使ったとか
リアルタイムはおろか、事後にもわからないようでは
セキュリティ部門として意識低すぎだよね

176: 2018/04/15(日) 05:52:24.30 ID:z81TYEVR0
>>64
妄想もクソも実際の事例としてゴロゴロしとるが
セキュリティ皆無にしたら氾濫するだろな
今日から業務効率優先でログ取りませんー認証も不要ですーインターネットから社内システムに直で繋げられますーってか
アホアホの極みやな

30: 2018/04/15(日) 02:37:20.15 ID:xiXxYevp0
そもそもパスワードを求められる場面が多すぎて
それぞれ違ったパスワードを月一で変更とか狂気でしかない
会社のPC(個人×1、店舗×2)、自宅のPC、スマホの起動パスワード
社内メール、社外メール、数値分析ソフト、各種電子申請用ソフト、商品発注システム、備品発注システム、作業用PDA端末ログイン
各種SNSアカウント、Amazonや動画音楽Webサービス

36: 2018/04/15(日) 02:43:00.46 ID:t9Fw9A9v0
変えてセキュリティー効果上がる以上にユーザーが忘れるリスクがデカい
机上の空論でしかない

44: 2018/04/15(日) 02:46:09.19 ID:k3sI38v30
定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな

47: 2018/04/15(日) 02:47:24.12 ID:tRtw+FSp0
一々新しいパスワードを自分で作って覚えて入力云々
一連の動作に妙にほとばしる人力感

49: 2018/04/15(日) 02:48:10.12 ID:mpnwRYm40
一ヶ月に一回変更されると
8桁の英数記号でも覚えるのは面倒になって
メモしたり末尾だけ変えたりするようにするわ

55: 2018/04/15(日) 02:51:27.29 ID:ORsX7fUk0
漏洩対策なら1ヶ月毎の変更じゃ意味ないだろ
その目的なら1分毎に変えろ

59: 2018/04/15(日) 02:52:39.54 ID:2qoOkMZ70
漏れたらいうけど
漏れたらすぐにデータ見られるんだから
そのあと変えたところであんま変わらん気がするわ

60: 2018/04/15(日) 02:53:16.19 ID:6uOBAuLU0
ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ

69: 2018/04/15(日) 02:58:11.63 ID:7CWkZhL40
いや、もうパスワード変えるのは古いからw

75: 2018/04/15(日) 02:59:45.68 ID:CpcoBCeF0
いつも見てるぞ

76: 2018/04/15(日) 03:00:10.75 ID:NEl+cZuw0
USBの指紋認証のやつ付けてやれよ

コメントをどうぞ!

   

ピックアップ!