1 名前:名無しさん@涙目です。:2018/04/15(日) 02:08:28.17 ID:shpnhuow0●.net BE:218927532-PLT(13121)

http://img.5ch.net/ico/nida.gif


インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。

たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

http://news.livedoor.com/article/detail/14579258/


引用元:http://hayabusa3.2ch.sc/test/read.cgi/news/1523725708

2 名前:名無しさん@涙目です。:2018/04/15(日) 02:10:12.79 ID:VCXtXDh+0.net

> 話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。

終了


17 名前:名無しさん@涙目です。:2018/04/15(日) 02:23:04.11 ID:+uktiLS00.net

>>2
これ



4 名前:名無しさん@涙目です。:2018/04/15(日) 02:11:01.77 ID:blgrF3S00.net

パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる

5 名前:名無しさん@涙目です。:2018/04/15(日) 02:12:24.20 ID:ORsX7fUk0.net

そもそも覚えられるパスワードは安全ではない


37 名前:名無しさん@涙目です。:2018/04/15(日) 02:43:04.21 ID:mpnwRYm40.net

>>5
英数記号16桁は手が覚える
おそらく24桁も行ける
8桁の組み合わせだと思えば意外とちょろい



7 名前:名無しさん@涙目です。:2018/04/15(日) 02:14:56.90 ID:6bb93f6U0.net

パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ

8 名前:名無しさん@涙目です。:2018/04/15(日) 02:15:54.36 ID:Ot5AX8dE0.net

月一で変更とかセキュリティ担当の責任回避が目的だろ

9 名前:名無しさん@涙目です。:2018/04/15(日) 02:16:16.29 ID:D1P9YZJS0.net

俺が使ってる法人向けネットバンキングは3カ月毎に2種類のパスワードを変更しないといけない
しかも過去に使ったパスワードは不可だから紙にメモして残してる
さらにワンタイムパスワードも必要だからめんどくさい

11 名前:名無しさん@涙目です。:2018/04/15(日) 02:17:30.30 ID:Sr5dvi9c0.net

この手の奴がパスワードマネージャーはじくフォーム作るんだろうか

12 名前:名無しさん@涙目です。:2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0.net

パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。

13 名前:名無しさん@涙目です。:2018/04/15(日) 02:21:21.83 ID:lOjzoGKG0.net

パスワード変更は意味がないって主張どういう根拠で言ってるんだ?


18 名前:ボックス:2018/04/15(日) 02:24:32.52 ID:apYI8ahe0.net

>>13
8桁パスワードで考えた場合

10年間変えず破られる確率と
毎秒変えて破られる確率の差

0.000001% だから

ソースは日経コンピュータ2014年10.16号



23 名前:名無しさん@涙目です。:2018/04/15(日) 02:32:06.75 ID:lOjzoGKG0.net

パスワード変えなければ気づかないまま漏れたパスワードで悪さをされ放題だけど、定期的なパスワード変更してれば、そのパスワード変更以降は少なくとも悪さされないじゃない。

27 名前:名無しさん@涙目です。:2018/04/15(日) 02:35:47.97 ID:ENja+vG30.net

漏れて不正アクセスされた時点でアウトだから無意味だよw
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか?w


32 名前:名無しさん@涙目です。:2018/04/15(日) 02:38:53.36 ID:lOjzoGKG0.net

>>27
何か盗まれるとかそんな分かりやすいものじゃなくて、社内の機密情報閲覧され続けるって可能性もあるじゃない。



28 名前:名無しさん@涙目です。:2018/04/15(日) 02:36:09.08 ID:KxPdQPDk0.net

アクセスされた痕跡確認の方が大事なんじゃねーのかな

30 名前:名無しさん@涙目です。:2018/04/15(日) 02:37:20.15 ID:xiXxYevp0.net

そもそもパスワードを求められる場面が多すぎて
それぞれ違ったパスワードを月一で変更とか狂気でしかない
会社のPC(個人×1、店舗×2)、自宅のPC、スマホの起動パスワード
社内メール、社外メール、数値分析ソフト、各種電子申請用ソフト、商品発注システム、備品発注システム、作業用PDA端末ログイン
各種SNSアカウント、Amazonや動画音楽Webサービス

31 名前:名無しさん@涙目です。:2018/04/15(日) 02:38:48.54 ID:d6vynhI50.net

パスワードって今時いろんな場所で設定求められるから根幹語彙に数字つけ足したり位置変えるだけになるんよね(´・ω・`)

大幅に変えると覚えられへんし1を2とか3にしていくだけになる(´・ω・`)

定期変更わ無意味(´・ω・`)

35 名前:名無しさん@涙目です。:2018/04/15(日) 02:41:21.80 ID:lOjzoGKG0.net

定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの?


39 名前:名無しさん@涙目です。:2018/04/15(日) 02:43:54.95 ID:t9Fw9A9v0.net

>>35
セキュリティーは使う側に合わせるのが仕事だよ


46 名前:名無しさん@涙目です。:2018/04/15(日) 02:47:16.27 ID:ENja+vG30.net

>>35
お漏らしした時点で致命傷だから関係ないよw


52 名前:名無しさん@涙目です。:2018/04/15(日) 02:49:50.74 ID:mpnwRYm40.net

>>35
だから定期的にパスワードを変更することはなんらリスク低減にはならん
むしろそのリスクを増すというのが最近の潮流だって



36 名前:名無しさん@涙目です。:2018/04/15(日) 02:43:00.46 ID:t9Fw9A9v0.net

変えてセキュリティー効果上がる以上にユーザーが忘れるリスクがデカい
机上の空論でしかない

42 名前:名無しさん@涙目です。:2018/04/15(日) 02:45:10.15 ID:VCXtXDh+0.net

× 定期的なパスワード変更は意味が無い
○ 定期的なパスワード変更を強制するとユーザーが破られやすい簡単なパスワードやほかのサービスと共通のパスワードを使いまわすことが多くなり総体としての安全性向上にならない

・パスワードの使い回しは絶対にやめましょう
・類推や総当たりで破られにくくするためになるべく複雑で十分な長さのパスワードを使いましょう 特に長さはちょい手間の割に有効
・当たり前だけど流出した可能性があるパスワードはできるだけ早く変更しましょう

44 名前:名無しさん@涙目です。:2018/04/15(日) 02:46:09.19 ID:k3sI38v30.net

定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな

47 名前:名無しさん@涙目です。:2018/04/15(日) 02:47:24.12 ID:tRtw+FSp0.net

一々新しいパスワードを自分で作って覚えて入力云々
一連の動作に妙にほとばしる人力感

49 名前:名無しさん@涙目です。:2018/04/15(日) 02:48:10.12 ID:mpnwRYm40.net

一ヶ月に一回変更されると
8桁の英数記号でも覚えるのは面倒になって
メモしたり末尾だけ変えたりするようにするわ

50 名前:名無しさん@涙目です。:2018/04/15(日) 02:48:29.78 ID:/OvAmzf+0.net

うちの会社は月イチ強制更新だった
だが、他人の手元を見てはパスワードチェックしてたところ、
ほぼ全員月に由来する数字orアルファベットを先頭か末尾につけるスタイルで、笑った

多いのは末尾タイプで、タタタタタタタタ、…タタ、って感じで打つ
レア度の高い先頭タイプは、…タタ、タタタタタタタ、って感じで打つ

55 名前:名無しさん@涙目です。:2018/04/15(日) 02:51:27.29 ID:ORsX7fUk0.net

漏洩対策なら1ヶ月毎の変更じゃ意味ないだろ
その目的なら1分毎に変えろ

57 名前:名無しさん@涙目です。:2018/04/15(日) 02:51:43.68 ID:VCXtXDh+0.net

この穴に挿入してください
      ●


この棒を挿入してください
(AA略)

58 名前:名無しさん@涙目です。:2018/04/15(日) 02:52:20.45 ID:lOjzoGKG0.net

漏れたパスワードを変更したらそのパスワードでログイン出来なくなるのに、
全く意味がない、という理屈が全く分からない。

ただ、生体認証やカード認証はなるほどと思いました。


61 名前:名無しさん@涙目です。:2018/04/15(日) 02:53:33.90 ID:BXjDQ+tA0.net

>>58
じゃあパスワード漏れたら危ないから毎日パスワード変更するようにしよう(極論)



59 名前:名無しさん@涙目です。:2018/04/15(日) 02:52:39.54 ID:2qoOkMZ70.net

漏れたらいうけど
漏れたらすぐにデータ見られるんだから
そのあと変えたところであんま変わらん気がするわ

60 名前:名無しさん@涙目です。:2018/04/15(日) 02:53:16.19 ID:6uOBAuLU0.net

ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ

67 名前:名無しさん@涙目です。:2018/04/15(日) 02:57:04.27 ID:89GSJj3N0.net

発言小町だろ?女にパスワード覚えられるかよ?そりゃ発狂するわ

69 名前:名無しさん@涙目です。:2018/04/15(日) 02:58:11.63 ID:7CWkZhL40.net

いや、もうパスワード変えるのは古いからw

82 名前:名無しさん@涙目です。:2018/04/15(日) 03:03:49.30 ID:pX3Awt710.net

一分でも侵入許したらバックドア仕掛けられて
それ以降、パスワード何回変えてもやりたい放題される

87 名前:名無しさん@涙目です。:2018/04/15(日) 03:07:28.70 ID:CpcoBCeF0.net

指紋なんて指切り取られたら終わりじゃん

90 名前:名無しさん@涙目です。:2018/04/15(日) 03:09:24.30 ID:cyqgyeRT0.net

パスワード認証の生みの親が
この方法はもうダメぽ
って言ってたからな

複数の長いパスワードは凡人の脳では管理できん

91 名前:名無しさん@涙目です。:2018/04/15(日) 03:09:25.13 ID:kdl5u2Qw0.net

パスワード月イチ変更はアメリカのセキュリティ専門家が言い出して政府機関の標準に採用されて広まったんだがあれは誤りだったって何年も前に改められている

92 名前:名無しさん@涙目です。:2018/04/15(日) 03:10:05.07 ID:k3sI38v30.net

侵入された場合端末にも何かしら異変が起こるはずなんだけどそれに気づかないユーザーもどうかと思うね

96 名前:名無しさん@涙目です。:2018/04/15(日) 03:11:40.32 ID:6uOBAuLU0.net

キーロガー仕掛けられたらパスワード変えれば変えるだけ法則性ばれて携帯や銀行のパスワードまで推測されかねない

97 名前:名無しさん@涙目です。:2018/04/15(日) 03:12:30.15 ID:Vd9fPXRt0.net

英数字の組み合わせ強要はまだ許せる
それにくわえて大文字小文字混在許容は許せん


107 名前:名無しさん@涙目です。:2018/04/15(日) 03:19:01.30 ID:mpnwRYm40.net

>>97
むしろ、こちらは強固なパスワードを用意してるのに
英数だけで記号をつかわせないとか9桁までとか変に弱い方に制限を掛けてるのが許せない



103 名前:名無しさん@涙目です。:2018/04/15(日) 03:16:56.99 ID:ztBzgm1j0.net

10文字くらいで頻繁に変えるくらいなら20文字のをずっと使うわ。
漏れたらそん時考える。不審なアクセスあると警告してくれる所多いしな

104 名前:名無しさん@涙目です。:2018/04/15(日) 03:17:00.53 ID:lOjzoGKG0.net

どんなに堅牢なシステムができてもインシデントの半分以上が人為的なミスから起こるって社内研修で新卒が習うことなのに、
システム面の話ばっかりで人為的な事を考慮せず話する人ってどうなんだろうと思うんです。

105 名前:名無しさん@涙目です。:2018/04/15(日) 03:17:59.66 ID:LDLTPEWe0.net

結局、パスワードを複雑化してもどこかに今のパスワードを書いたメモを置くだけなんだよなぁ
ソーシャルハッキングの温床にしかならないわ

109 名前:名無しさん@涙目です。:2018/04/15(日) 03:19:21.43 ID:lOjzoGKG0.net

生体認証系はまだ筋が良いかもとは思います。目の網膜の認証とか出来れば寝てる時でも使われにくい。

115 名前:名無しさん@涙目です。:2018/04/15(日) 03:23:59.96 ID:k3sI38v30.net

まぁパスワード+ワンタイムパスの組み合わせが普及したからってのもあるんだろうね

118 名前:名無しさん@涙目です。:2018/04/15(日) 03:27:06.22 ID:mpnwRYm40.net

ランダムに生成された英数記号16桁、メモなどは一切なしくらいであれば
パスワードの保管元がザル管理で破られない限りパスワードが流出することはありえない

121 名前:名無しさん@涙目です。:2018/04/15(日) 03:32:03.81 ID:mh+FldXk0.net

パスワードの変更なんてセキュリティ的になんか意味あると思えないんだが

それより怪しいサイトを利用しないとか
変なURL踏まないとか
メモで見えるところにはっておかないとか

そっちの方が大事な気がするわ
変える事で覚えずにメモそこら辺にある方がよっぽどあぶねえよ

122 名前:名無しさん@涙目です。:2018/04/15(日) 03:34:18.81 ID:5BXADJta0.net

要は歩いててもベンチに座ってても隕石に当たる確率は同じということ

123 名前:名無しさん@涙目です。:2018/04/15(日) 03:34:55.68 ID:zQ6sE+Xw0.net

パスワードをランダム文字列にしないとかセキュリティ意識低すぎない?


129 名前:名無しさん@涙目です。:2018/04/15(日) 03:42:50.98 ID:6uOBAuLU0.net

>>123
セキュリティーの高くない普通のお仕事ならそれで良いけどハードディスク盗まれたらヤバいようなお仕事ではランダムは危険かも
マシンパワーに物言わせた総当たりのブルートアタックで突破される可能性が高い
ランダムだけじゃ問題あるからワンタイムパスワードの仕組みがある



124 名前:名無しさん@涙目です。:2018/04/15(日) 03:35:23.83 ID:VCXtXDh+0.net

メモが多すぎて
現在のパスワードが
わからない

○1点

126 名前:名無しさん@涙目です。:2018/04/15(日) 03:40:17.55 ID:zERBKY5p0.net

PCにテキストファイルでメモするのが1番だよ
それが見られるような事態なら既にもうダメでしょう

127 名前:名無しさん@涙目です。:2018/04/15(日) 03:41:41.75 ID:bUJUt9J80.net

パスワードを3回間違えるとログインできない設定にしてるのに頻繁にパスワード変えるって意味あるのか
3回以内にログインされる可能性があるから頻繁に変えるのか
それ変えても3回以内でログインされるなら危険度変わらなくないか

130 名前:名無しさん@涙目です。:2018/04/15(日) 03:43:21.12 ID:ZSRbJJyB0.net

明らかな釣り堀小町だけど
3回間違えたら初期化って釣る気ねーだろw
話がお粗末すぎる

134 名前:名無しさん@涙目です。:2018/04/15(日) 03:46:39.29 ID:fmprTNNo0.net

浮気してる奴 スマホは指紋認証はやめておけよ
寝てる間に指使われて認証突破されてlineチェック喰らうからな

135 名前:名無しさん@涙目です。:2018/04/15(日) 03:46:45.69 ID:Dh4apUNm0.net

指一本で入力できるPASSに凝ってた

ふじこみたいな感じのやつ

137 名前:名無しさん@涙目です。:2018/04/15(日) 03:47:34.82 ID:ABqzPc3d0.net

アプリ一個一個パスあんのに覚えられるワケねえっての
サバンじゃねえんだぞ

139 名前:名無しさん@涙目です。:2018/04/15(日) 03:51:39.33 ID:mpnwRYm40.net

Chromeがパスワード全部覚えてしまってるから
Chromeに致命的な脆弱性があったり
家に空き巣に入られてPCごと盗まれたらお終い

140 名前:名無しさん@涙目です。:2018/04/15(日) 03:51:44.41 ID:lOjzoGKG0.net

炭水化物ダイエットが実は身体に良くなかったみたいに、実はパスワード変更は有効だった!みたいな記事が5年後くらいに出たりしないですか?
何かそういう罠的なものが潜んでそうな気がするんです。私の直感です。

144 名前:名無しさん@涙目です。:2018/04/15(日) 03:54:13.43 ID:k3sI38v30.net

見直される可能性?多分ないね
+ワンタイムパスが定期変更の進化系だから

147 名前:名無しさん@涙目です。:2018/04/15(日) 03:57:56.94 ID:VCXtXDh+0.net

ZIPとかDESの総当たりを試みたのはじじいの共通体験
2chのトリップ総当たりも同じだけど専用機を作ったやつは病気だと思った
SSE、GPUを使うソフトに速度を抜かれて技術の進歩はすごいなと

148 名前:名無しさん@涙目です。:2018/04/15(日) 03:58:44.14 ID:mpnwRYm40.net

RSA暗号の仕組みを学ぶと面白いぞ
よくもまあこんなのを思い付いたと思う
でもNSAとかはもうその解析法を実は開発してたりするんじゃないかと思ったりもするが