1 2018/04/15(日)
インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。
じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を 正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の 仕事ではないか」と、猛反発する声が大半。

(略)

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。

パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

http://news.livedoor.com/article/detail/14579258/

4
パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる


5
そもそも覚えられるパスワードは安全ではない


37
>>5
英数記号16桁は手が覚える
おそらく24桁も行ける
8桁の組み合わせだと思えば意外とちょろい


316
>>5
簡単だよ
日本語の単語や熟語をローマ字読みしたものを3つ4つつなげればいい
文字種を増やすことによる複雑さよりも、十分な文字列長を確保することが大事


7
パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ


8
月一で変更とかセキュリティ担当の責任回避が目的だろ




9
俺が使ってる法人向けネットバンキングは3カ月毎に2種類のパスワードを変更しないといけない
しかも過去に使ったパスワードは不可だから紙にメモして残してる
さらにワンタイムパスワードも必要だからめんどくさい


12
パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。


19
>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話


20
>>19
漏れたら変えればよいって、漏れたことに気づいてない場合はどうするの?
パスワード変えなければ時間かけてゆっくり悪さされない?何かのファイルログインしてコピーしてもってかれたりとか。


40
>>20
だからパスワードなんて不安定なものじゃなく
生体認証やカード認証など、第三者には利用しにくいものが採用され始めてる

パスワードを使わざるを得ないものは確かに、人為的に漏れる場合があるので、

・人間が平文パスワードを脳内以外で管理しないようにする
・システム管理者で、共通パスワードを使わざるを得ない場合は、担当者に変更があった時に変える

などということを守る方が賢明


219
>>20
漏れたことに気づかせるシステムが無いのが不思議。

googleなら新しい端末からのログインは通知される。
lineでも同じように通知される。

同じ端末からだと侵入は分からないが、カメラを使用してログイン時の顔を撮影する方法もある。

紙に残すやり方もそれなりに有効。紙を見つけられないとパスワードが漏れない。簡単なパスワードを覚えて、それに記号を足す定期的変更法もある。紙には二文字しか書かないし、パスワードそのものではないので見られても平気。


24
祗園精舎の鐘の声諸行無常の響きあり・・・・・ってパスワード入れると長いって怒られるところがある。
長くて憶えやすいのがいいと思うんだけど。


27
漏れて不正アクセスされた時点でアウトだから無意味だよw
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか?w


32
>>27
何か盗まれるとかそんな分かりやすいものじゃなくて、社内の機密情報閲覧され続けるって可能性もあるじゃない。


43
>>32
パスワードだけじゃなく社外からの不正アクセス検知機構とか、
パスワード漏れた場合にすぐ判別出来る仕組みとか、
関係者以外が必要以上の機密情報にアクセス出来ない仕組みとか、
情報漏れたときにすぐに把握出来る仕組みとかで多重構造的に守る仕組みが必要ってのが今のセキュリティーのあり方らしいぞ


28
アクセスされた痕跡確認の方が大事なんじゃねーのかな


169
>>28
普段と違う端末からのログインを監視警告した方が有効ね


29
入り口はカードロックあるんだから、社外ログインさえはじけばパスワード変更なんか要らんと思うがなあ
情シって暇なんだろうな自分らで仕事作り出して人の邪魔する部門


51
>>29
本当に恐ろしいのは内部犯よ
人事情報を覗きたい。役職者になりすましてメール送信
誤発注で嫌いな奴を失脚etc...etc...
ログは残るかもしれんが記録にある人間と操作した人間が同じと証明するにはどうする?
監視カメラか?それはそれで別問題に発展するが


64
>>51
そんな妄想に対応するためにセキュリティやってんのかよw
だからさー出入口のカードログでPCの持ち主は席に居ないの分かるだろー?w


176
>>64
妄想もクソも実際の事例としてゴロゴロしとるが
セキュリティ皆無にしたら氾濫するだろな
今日から業務効率優先でログ取りませんー認証も不要ですーインターネットから社内システムに直で繋げられますーってか
アホアホの極みやな


73
>>64
さすがに危機意識低すぎ


86
>>73
ICカード導入してるのに
席にいないはずの人間がPC使ったとか
リアルタイムはおろか、事後にもわからないようでは
セキュリティ部門として意識低すぎだよね


30
そもそもパスワードを求められる場面が多すぎて
それぞれ違ったパスワードを月一で変更とか狂気でしかない
会社のPC(個人×1、店舗×2)、自宅のPC、スマホの起動パスワード
社内メール、社外メール、数値分析ソフト、各種電子申請用ソフト、商品発注システム、備品発注システム、作業用PDA端末ログイン
各種SNSアカウント、Amazonや動画音楽Webサービス


44
定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな


49
一ヶ月に一回変更されると
8桁の英数記号でも覚えるのは面倒になって
メモしたり末尾だけ変えたりするようにするわ


50
うちの会社は月イチ強制更新だった
だが、他人の手元を見てはパスワードチェックしてたところ、
ほぼ全員月に由来する数字orアルファベットを先頭か末尾につけるスタイルで、笑った

多いのは末尾タイプで、タタタタタタタタ、…タタ、って感じで打つ
レア度の高い先頭タイプは、…タタ、タタタタタタタ、って感じで打つ


53
パスワードの変更に効果はないよ今のセキュリティの常識
結局人が管理するから規則性が生まれるしランダムな文字列は覚えられない
いつの時代の話ししてんだか


58
漏れたパスワードを変更したらそのパスワードでログイン出来なくなるのに、
全く意味がない、という理屈が全く分からない。

ただ、生体認証やカード認証はなるほどと思いました。


61
>>58
じゃあパスワード漏れたら危ないから毎日パスワード変更するようにしよう(極論)


62
>>61
いやそれは危険すぎる一時間毎に変えよう


381
>>62
その発想がワンタイムパスワード


60
ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ


71
うちは去年まで1ヶ月ごとだったけど今年から3ヶ月ごとになって楽になった
まぁPCログインとメールとメイン業務ソフトと顧客DBと勤怠管理で
毎日5つもIDとパスワード打たなきゃならんけど


96
キーロガー仕掛けられたらパスワード変えれば変えるだけ法則性ばれて携帯や銀行のパスワードまで推測されかねない


118
ランダムに生成された英数記号16桁、メモなどは一切なしくらいであれば
パスワードの保管元がザル管理で破られない限りパスワードが流出することはありえない


119
現実的に、今は、ビッグデータとディープラーニングの時代なわけで、
不審な動作をした時点でアラート出せるんだよね。

一時期に比べてSPAMも少なくなったのは、フィルタが爆発的に進化したためだ。
あまり経験者がいないと思うが、不正利用されると即座にカード会社から電話が来る。
利用履歴を自動判定できるようになってるんだよね。

ディープラーニングはそれ自体もすごいが、セキュリティ分野では別の価値がある。
つまり、判定基準が明示的でないため、
プログラミングに親和性が高いだけのアスペルガー症候群野郎が裏をかけない、
というところに真価がある。


244
>>119
あー、クレカの会社から速攻で電話きたことあるわ。
過去の履歴から、今までにないパターンを検知するみたいね。私の場合は、海外から一円請求(カード番号が生きてるかどうかのチェックでやるんだって。かえってバレバレな気が…)と、2万円くらいの請求があった(発覚を遅らせるため高額にしないそう)らしい。
ちょうどその頃、数年ぶりにしたアマゾンでの買い物もあって、「◯月◯日のアマゾンでの購入はされてますか?」って聞かれた。
すぐに番号変える手続きしてくれた。


123
パスワードをランダム文字列にしないとかセキュリティ意識低すぎない?


129
>>123
セキュリティーの高くない普通のお仕事ならそれで良いけどハードディスク盗まれたらヤバいようなお仕事ではランダムは危険かも
マシンパワーに物言わせた総当たりのブルートアタックで突破される可能性が高い
ランダムだけじゃ問題あるからワンタイムパスワードの仕組みがある


131
>>129
ランダム文字列で40桁
これで十分だよ
これが破られるような技術があるならビットコインは崩壊してる


145
>>131
40桁ww
確かにセキュリティー性は高いな
まぁ一応書くけど基本的に英数字のパスワードならブルートアタックで解けないパスワードは存在しないぞ
マシンパワー依存で時間がどれだけかかるかが変わるだけ絶対の安全性は存在しない
アメリカの情報機関のNSAの仕事の一つは大規模なスパコン使って暗号解読で難解な暗号と違ってパスワードなんか文字通り時間の問題で解読される


126
PCにテキストファイルでメモするのが1番だよ
それが見られるような事態なら既にもうダメでしょう


134
浮気してる奴 スマホは指紋認証はやめておけよ
寝てる間に指使われて認証突破されてlineチェック喰らうからな


162
>>134
そういう事だったのか、、、


180
>>134
最近、彼女が寝てる間にスマホ認証させて外部から位置情報取得できるアプリインストールして
別れてからもストーキングしてた男が捕まったな


158
指紋認証が確実だろ。


186
>>158
webシステムへの変更と指紋認証の「廃止」を同時に行ったアホな会社を知っている


360
>>158
静脈や虹彩の勝ち


417
>>158
ピースサインした写真とかあったらヤバい


221
>>158
>>186
中国じゃ指紋偽造キットなんて売ってるぐらいもう指紋は話にならない
日本の危機意識ってその程度なんだってお前らも体現してるぞ


167
流出させないこと
他人が推測できないこと
機械の総当たりに当たらないこと
漏れた気がしたら変更すること
が重要で何日毎に変えろって全く意味がない


171
>>167
パスワードを破られるかどうか?に関しては、定期的な変更に意味はないよな。
でも、破られた後長期に居座られるリスクに関しては、定期的な変更が意味をもつ場合もあるかも


185
毎月変更なんてのは使い勝手が悪すぎて無理があるんだよ。
忙しい時にパスワード考えろ!って毎月やられれば
 二つを切り替える・語尾に適当な数字で誤魔化す
こうなるのが当たり前でしょ、セキュリティしか考えず利便性とか他の事を考えない悪例だな。
こういうのはバランスを考えるしかないんだよ、スマホだってセキュリティが第一ならありえないでしょ。
そこまで考えが至らないから叩かれるだけ、現場の事も考えろ!ってね。


188
パスワードはナンセンスだな
IDチップデータと社員番号入力値と生体の3点照合だべ
本人すら知らない番号と固定地と本人しか出せない不変値での称号だべ


189
パスワードは定期的に変えるべきだと主張した最初のおっさんが、
あれは間違いだった変えない方が良いって発表してたやん


192
コロコロ替えるパスワードのせいで、メモしなくてはいけなくなったり簡単なセンテンスにしたりしてるのが大半。
強固なやつを破られるまで使い続けた方が安全なんだが。


197
日本企業のIT環境って絶望的だよな
海外の一流企業は92%が社内でMacを活用し、44%の企業が社員が希望すればMacが支給されると聞いたぞ


199
月一はない


205
セキュリティと言うか防犯従事者だけど、この業界パスワードとかに限らずセキュリティ認識ゲロ甘な奴多いぞ
社内の鍵の管理が甘くてよく失くしたり何かのパスワードとかを人の前で手打ちしてかつそれが12345678とかのどうしようもない物だったり
もう誰も前にここで祭りになって業界が大騒ぎしたロシアの監視カメラ筒抜けサイト覚えてねえ


242
メールの誤送信を気をつけましょうっていう表題で
セキュリティー啓発の問題を送りつけて来たセキュリティー担当が
問題の答えも誤って一緒に添付して送ってくるというミスをやらかすっていうのは実際にあった


264
漢字を使える文章なら安心だね


271
不審なメールは開くな
何でもすぐにクリックするな

パスワード変更なんぞよりまず先にこれを教育すべき


281
パスワードの定期的変更は不要てのが最新の潮流だよね
定期的変更は、ユーザー負担が重く、紙にメモ書きしたり、123abcとか簡単なパスワードやパスワード覚え安いようにアルファベットや数字の一部だけ変更で、パスワード流出や破られる危険が高まるんで、定期的変更はリスクが減らないらしい


293
というか特定のPCでしかログインしないならぶっちゃけメモでもいいわ(自宅とか)
誰がそこまで侵入して盗み見るんだよ


296
>>293
紙にプリントして隠しておく
最悪泥棒が入ったとしても
紙まで見ないし、証拠になりそうなものを持ち帰らない


334
まぁでも10年前に比べると、だいぶセキュリティ意識は向上したよ。年1の社員講習やったって意味ないかと思ったけどそんなことはないね。
昔は誰の許可もなくやばい情報満載のPC持ち出してたし、違う取引先にメール誤送信しても笑い話で済んでた


355
個人で色々なサービスで

メールアドレス:パスワード

を使い回す方が問題やね

一個漏れると、全部もれる


365
>>355
まともなサイトならパスワードを平文で保存することはない(漏れても使えない)
パスワード教えてくれるサイトはアウト


408
敢えてパスワードを覚えずに毎回初期化してもらうという手法


410
そんなに重要なシステムなら、パスワード止めて静脈やらICカードやら使えばって感じだ。
イニシャル高いけど、月一回全社員パスワード変える手間考えれば、ランニングコストで回収できるやろ。


422
うちも大小英数字13桁、毎月変更やららせる
正直面倒だ






引用: セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ!」⇒炎上