セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ！」→炎上

1 ：名無しさん＠涙目です。：2018/04/15(日) 02:08:28.17 ID:shpnhuow0●.net ?PLT(13121)

http://img.5ch.net/ico/nida.gif
インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」（2018年3月11日付）への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。

たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

http://news.livedoor.com/article/detail/14579258/

2 ：名無しさん＠涙目です。：2018/04/15(日) 02:10:12.79 ID:VCXtXDh+0.net

> 話題のきっかけは、女性向けサイト「発言小町」（2018年3月11日付）への投稿。

終了

3 ：名無しさん＠涙目です。：2018/04/15(日) 02:10:26.32 ID:XAZRZFcD0.net

パズワードはパスワードです

4 ：名無しさん＠涙目です。：2018/04/15(日) 02:11:01.77 ID:blgrF3S00.net

パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる

5 ：名無しさん＠涙目です。：2018/04/15(日) 02:12:24.20 ID:ORsX7fUk0.net

そもそも覚えられるパスワードは安全ではない

6 ：名無しさん＠涙目です。：2018/04/15(日) 02:14:55.69 ID:k3sI38v30.net

アホ「パスワード忘れたんで教えてください」
管理者の俺「いや、俺も知らない」

7 ：名無しさん＠涙目です。：2018/04/15(日) 02:14:56.90 ID:6bb93f6U0.net

パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ

8 ：名無しさん＠涙目です。：2018/04/15(日) 02:15:54.36 ID:Ot5AX8dE0.net

月一で変更とかセキュリティ担当の責任回避が目的だろ

9 ：名無しさん＠涙目です。：2018/04/15(日) 02:16:16.29 ID:D1P9YZJS0.net

俺が使ってる法人向けネットバンキングは3カ月毎に2種類のパスワードを変更しないといけない
しかも過去に使ったパスワードは不可だから紙にメモして残してる
さらにワンタイムパスワードも必要だからめんどくさい

10 ：名無しさん＠涙目です。：2018/04/15(日) 02:16:28.29 ID:J4fu8i9L0.net

trustno1

11 ：名無しさん＠涙目です。：2018/04/15(日) 02:17:30.30 ID:Sr5dvi9c0.net

この手の奴がパスワードマネージャーはじくフォーム作るんだろうか

12 ：名無しさん＠涙目です。：2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0.net

パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。

13 ：名無しさん＠涙目です。：2018/04/15(日) 02:21:21.83 ID:lOjzoGKG0.net

パスワード変更は意味がないって主張どういう根拠で言ってるんだ？

14 ：ボックス ：2018/04/15(日) 02:21:25.62 ID:apYI8ahe0.net

>>1
> パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。

これも、提言してた人が
ほとんど意味なかったわ。桁数が多い方がいいわ。

って言ってなかったっけ

15 ：名無しさん＠涙目です。：2018/04/15(日) 02:21:41.74 ID:J6LBlBxF0.net

yamada0724545menma@3manen

こんなかんじで長いの作ればいい

16 ：名無しさん＠涙目です。：2018/04/15(日) 02:22:51.48 ID:UVDjEOep0.net

頻繁に入力するパスワードなら覚えられるけどな
この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ

17 ：名無しさん＠涙目です。：2018/04/15(日) 02:23:04.11 ID:+uktiLS00.net

>>2
これ

18 ：ボックス ：2018/04/15(日) 02:24:32.52 ID:apYI8ahe0.net

>>13
8桁パスワードで考えた場合

10年間変えず破られる確率と
毎秒変えて破られる確率の差

0.000001% だから

ソースは日経コンピュータ2014年10.16号

19 ：名無しさん＠涙目です。：2018/04/15(日) 02:24:33.19 ID:k3sI38v30.net

>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話

20 ：名無しさん＠涙目です。：2018/04/15(日) 02:29:24.17 ID:lOjzoGKG0.net

>>18
人為的なミスで意図せず漏れる事が無かった場合の確率ということだよね。たぶん。

>>19
漏れたら変えればよいって、漏れたことに気づいてない場合はどうするの？
パスワード変えなければ時間かけてゆっくり悪さされない？何かのファイルログインしてコピーしてもってかれたりとか。

21 ：ボックス ：2018/04/15(日) 02:29:42.42 ID:apYI8ahe0.net

>>16
どこに毎日使うシステムって書いてあるよ？
ログインだから毎日？
じゃあおめー、今まで作ったログインするシステム、フリーメールやプロバイダメールとか、ヤフーや楽天やアマゾン、毎日全部手動でログインしてるのかよ？

22 ：名無しさん＠涙目です。：2018/04/15(日) 02:31:22.42 ID:ApmCrJuv0.net

>>19
漏れたの気づけたら苦労しないだろｗ

23 ：名無しさん＠涙目です。：2018/04/15(日) 02:32:06.75 ID:lOjzoGKG0.net

パスワード変えなければ気づかないまま漏れたパスワードで悪さをされ放題だけど、定期的なパスワード変更してれば、そのパスワード変更以降は少なくとも悪さされないじゃない。

24 ：名無しさん＠涙目です。：2018/04/15(日) 02:33:26.17 ID:yruTVWB30.net

祗園精舎の鐘の声諸行無常の響きあり・・・・・ってパスワード入れると長いって怒られるところがある。
長くて憶えやすいのがいいと思うんだけど。

25 ：名無しさん＠涙目です。：2018/04/15(日) 02:34:18.37 ID:lOjzoGKG0.net

>>22
そう、気づけないからこそ定期的にパスワード変更して、悪される期間を短くするようにするべきだと思うんです。

26 ：名無しさん＠涙目です。：2018/04/15(日) 02:35:40.01 ID:lOjzoGKG0.net

>>21
じゃあ毎日使うログインパスワードなんかは変える意味はあるということで良いですか？

27 ：名無しさん＠涙目です。：2018/04/15(日) 02:35:47.97 ID:ENja+vG30.net

漏れて不正アクセスされた時点でアウトだから無意味だよｗ
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか？ｗ

28 ：名無しさん＠涙目です。：2018/04/15(日) 02:36:09.08 ID:KxPdQPDk0.net

アクセスされた痕跡確認の方が大事なんじゃねーのかな

29 ：名無しさん＠涙目です。：2018/04/15(日) 02:36:56.55 ID:V0gF5NvX0.net

入り口はカードロックあるんだから、社外ログインさえはじけばパスワード変更なんか要らんと思うがなあ
情シって暇なんだろうな自分らで仕事作り出して人の邪魔する部門

30 ：名無しさん＠涙目です。：2018/04/15(日) 02:37:20.15 ID:xiXxYevp0.net

そもそもパスワードを求められる場面が多すぎて
それぞれ違ったパスワードを月一で変更とか狂気でしかない
会社のPC（個人×1、店舗×2）、自宅のPC、スマホの起動パスワード
社内メール、社外メール、数値分析ソフト、各種電子申請用ソフト、商品発注システム、備品発注システム、作業用PDA端末ログイン
各種SNSアカウント、Amazonや動画音楽Webサービス

31 ：名無しさん＠涙目です。：2018/04/15(日) 02:38:48.54 ID:d6vynhI50.net

パスワードって今時いろんな場所で設定求められるから根幹語彙に数字つけ足したり位置変えるだけになるんよね(´・ω・`)

大幅に変えると覚えられへんし1を2とか3にしていくだけになる(´・ω・`)

定期変更わ無意味(´・ω・`)

32 ：名無しさん＠涙目です。：2018/04/15(日) 02:38:53.36 ID:lOjzoGKG0.net

>>27
何か盗まれるとかそんな分かりやすいものじゃなくて、社内の機密情報閲覧され続けるって可能性もあるじゃない。

33 ：名無しさん＠涙目です。：2018/04/15(日) 02:41:03.74 ID:BXjDQ+tA0.net

>>23
毎月パスワード変えれなんて言われたら普通は面倒臭いから適当なパスワード設定するだろ
tanaka001→tanaka002→tanaka003 みたいね

そんなヌルいパスワード設定される位ならきっちりした英語大文字小文字数字混じりのパスワードをずっと使ってもらう方が破られずらいってことよ
パスワード流出した場合はtanaka003とかなら正解パスワードすぐに推測されるし

34 ：名無しさん＠涙目です。：2018/04/15(日) 02:41:17.16 ID:ENja+vG30.net

>>32
社内の機密情報(笑)の場合、全員が一斉に変える訳では無いのだから「定期的に買えても」他の誰かがいるｗ
そもそも、不正アクセスに気づかず情報抜かれ放題な時点でアウトだｗｗｗ

35 ：名無しさん＠涙目です。：2018/04/15(日) 02:41:21.80 ID:lOjzoGKG0.net

定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの？

36 ：名無しさん＠涙目です。：2018/04/15(日) 02:43:00.46 ID:t9Fw9A9v0.net

変えてセキュリティー効果上がる以上にユーザーが忘れるリスクがデカい
机上の空論でしかない

37 ：名無しさん＠涙目です。：2018/04/15(日) 02:43:04.21 ID:mpnwRYm40.net

>>5
英数記号16桁は手が覚える
おそらく24桁も行ける
8桁の組み合わせだと思えば意外とちょろい

38 ：名無しさん＠涙目です。：2018/04/15(日) 02:43:19.45 ID:lOjzoGKG0.net

>>33
というか、今時のシステムだと数字一つ変えたくらいだと前のパスワードと似てますって警告出て変更できなくない？
結構古いシステム使ってます？

39 ：名無しさん＠涙目です。：2018/04/15(日) 02:43:54.95 ID:t9Fw9A9v0.net

>>35
セキュリティーは使う側に合わせるのが仕事だよ

40 ：ボックス ：2018/04/15(日) 02:44:21.49 ID:apYI8ahe0.net

>>20
だからパスワードなんて不安定なものじゃなく
生体認証やカード認証など、第三者には利用しにくいものが採用され始めてる

パスワードを使わざるを得ないものは確かに、人為的に漏れる場合があるので、

・人間が平文パスワードを脳内以外で管理しないようにする
・システム管理者で、共通パスワードを使わざるを得ない場合は、担当者に変更があった時に変える

などということを守る方が賢明

41 ：名無しさん＠涙目です。：2018/04/15(日) 02:44:33.90 ID:mpnwRYm40.net

>>38
前のパスワードと似てると指摘できるってことは
パスワードは暗号化されず平文で保存されてるのかね？
そっちのほうが危なくね？

42 ：名無しさん＠涙目です。：2018/04/15(日) 02:45:10.15 ID:VCXtXDh+0.net

× 定期的なパスワード変更は意味が無い
○ 定期的なパスワード変更を強制するとユーザーが破られやすい簡単なパスワードやほかのサービスと共通のパスワードを使いまわすことが多くなり総体としての安全性向上にならない

・パスワードの使い回しは絶対にやめましょう
・類推や総当たりで破られにくくするためになるべく複雑で十分な長さのパスワードを使いましょう　特に長さはちょい手間の割に有効
・当たり前だけど流出した可能性があるパスワードはできるだけ早く変更しましょう

43 ：名無しさん＠涙目です。：2018/04/15(日) 02:45:33.77 ID:BXjDQ+tA0.net

>>32
パスワードだけじゃなく社外からの不正アクセス検知機構とか、
パスワード漏れた場合にすぐ判別出来る仕組みとか、
関係者以外が必要以上の機密情報にアクセス出来ない仕組みとか、
情報漏れたときにすぐに把握出来る仕組みとかで多重構造的に守る仕組みが必要ってのが今のセキュリティーのあり方らしいぞ

44 ：名無しさん＠涙目です。：2018/04/15(日) 02:46:09.19 ID:k3sI38v30.net

定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな

45 ：名無しさん＠涙目です。：2018/04/15(日) 02:46:40.90 ID:BXjDQ+tA0.net

>>38
そんな機能なんて不満の方が多いからもう廃止されたよ

46 ：名無しさん＠涙目です。：2018/04/15(日) 02:47:16.27 ID:ENja+vG30.net

>>35
お漏らしした時点で致命傷だから関係ないよｗ

47 ：名無しさん＠涙目です。：2018/04/15(日) 02:47:24.12 ID:tRtw+FSp0.net

一々新しいパスワードを自分で作って覚えて入力云々
一連の動作に妙にほとばしる人力感

48 ：名無しさん＠涙目です。：2018/04/15(日) 02:47:53.71 ID:lOjzoGKG0.net

>>34
全員が同じパスワード使ってるわけじゃないんだからみんな一斉に変わらなくても別に良くないですか？

不正アクセスに気づかず情報抜かれ放題な時点でアウトという意見はそこそこ同意なんだけど、だからこそそういうアウトな状態になったとしても、そんな状態を少なくするようにするべきかと。

究極的にはリモートから会社にアクセスできないようにするしかないけど、そんなことしたらリモートワークできない。

49 ：名無しさん＠涙目です。：2018/04/15(日) 02:48:10.12 ID:mpnwRYm40.net

一ヶ月に一回変更されると
8桁の英数記号でも覚えるのは面倒になって
メモしたり末尾だけ変えたりするようにするわ

50 ：名無しさん＠涙目です。：2018/04/15(日) 02:48:29.78 ID:/OvAmzf+0.net

うちの会社は月イチ強制更新だった
だが、他人の手元を見てはパスワードチェックしてたところ、
ほぼ全員月に由来する数字orアルファベットを先頭か末尾につけるスタイルで、笑った

多いのは末尾タイプで、ﾀﾀﾀﾀﾀﾀﾀﾀ、…ﾀﾀ、って感じで打つ
レア度の高い先頭タイプは、…ﾀﾀ、ﾀﾀﾀﾀﾀﾀﾀ、って感じで打つ

51 ：名無しさん＠涙目です。：2018/04/15(日) 02:48:43.28 ID:RdTqEBGQ0.net

>>29
本当に恐ろしいのは内部犯よ
人事情報を覗きたい。役職者になりすましてメール送信
誤発注で嫌いな奴を失脚etc...etc...
ログは残るかもしれんが記録にある人間と操作した人間が同じと証明するにはどうする？
監視カメラか？それはそれで別問題に発展するが

52 ：名無しさん＠涙目です。：2018/04/15(日) 02:49:50.74 ID:mpnwRYm40.net

>>35
だから定期的にパスワードを変更することはなんらリスク低減にはならん
むしろそのリスクを増すというのが最近の潮流だって

53 ：名無しさん＠涙目です。：2018/04/15(日) 02:50:27.13 ID:2KTTUZ9N0.net

パスワードの変更に効果はないよ今のセキュリティの常識
結局人が管理するから規則性が生まれるしランダムな文字列は覚えられない
いつの時代の話ししてんだか

54 ：名無しさん＠涙目です。：2018/04/15(日) 02:51:00.51 ID:pcnV3mm+0.net

俺のgoogleのパス38桁あった

55 ：名無しさん＠涙目です。：2018/04/15(日) 02:51:27.29 ID:ORsX7fUk0.net

漏洩対策なら1ヶ月毎の変更じゃ意味ないだろ
その目的なら1分毎に変えろ

56 ：ボックス ：2018/04/15(日) 02:51:40.63 ID:apYI8ahe0.net

>>26
論理展開が意味不明なんだが？


毎日使うシステムであろうとなかろうと

8桁パスワードで考えた場合
10年間変えず破られる確率と
毎秒変えて破られる確率の差
0.000001% だから
定期的に変える意味はほとんどない
ソースは日経コンピュータ2014年10.16号

んなことより、パスワードを平文で保存することをやめたり、ログイン履歴を確認できたり、ログイン通知が飛ぶようにしたりする方が賢明

57 ：名無しさん＠涙目です。：2018/04/15(日) 02:51:43.68 ID:VCXtXDh+0.net

この穴に挿入してください
　　　　　　●


この棒を挿入してください
（AA略）

58 ：名無しさん＠涙目です。：2018/04/15(日) 02:52:20.45 ID:lOjzoGKG0.net

漏れたパスワードを変更したらそのパスワードでログイン出来なくなるのに、
全く意味がない、という理屈が全く分からない。

ただ、生体認証やカード認証はなるほどと思いました。

59 ：名無しさん＠涙目です。：2018/04/15(日) 02:52:39.54 ID:2qoOkMZ70.net

漏れたらいうけど
漏れたらすぐにデータ見られるんだから
そのあと変えたところであんま変わらん気がするわ

60 ：名無しさん＠涙目です。：2018/04/15(日) 02:53:16.19 ID:6uOBAuLU0.net

ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ

61 ：名無しさん＠涙目です。：2018/04/15(日) 02:53:33.90 ID:BXjDQ+tA0.net

>>58
じゃあパスワード漏れたら危ないから毎日パスワード変更するようにしよう(極論)

62 ：名無しさん＠涙目です。：2018/04/15(日) 02:54:28.94 ID:2KTTUZ9N0.net

>>61
いやそれは危険すぎる一時間毎に変えよう

63 ：名無しさん＠涙目です。：2018/04/15(日) 02:55:21.17 ID:mpnwRYm40.net

>>58
だから、定期的にパスワードを変更することを強要することで
逆に漏れたり、使い回されて結果的に漏れるリスクが増して、そっちのほうが
影響が大きいんだって

ところで、>>41で言ってることってどういう理屈か、意味理解できます？

64 ：名無しさん＠涙目です。：2018/04/15(日) 02:55:51.58 ID:V0gF5NvX0.net

>>51
そんな妄想に対応するためにセキュリティやってんのかよｗ
だからさー出入口のカードログでPCの持ち主は席に居ないの分かるだろー？ｗ

65 ：名無しさん＠涙目です。：2018/04/15(日) 02:56:16.32 ID:nhRq2eZO0.net

http://blog-imgs-98.fc2.com/b/a/n/bandai11/977903b0ba913cc039073d3b925c743d.jpg

66 ：名無しさん＠涙目です。：2018/04/15(日) 02:56:36.23 ID:lOjzoGKG0.net

>>61,62

そういうんじゃなくて、漏れたパスワードを10年使い続けてたら10年間バレない範囲でやりたい放題されるけど、
１ヶ月に定期変更してれば１ヶ月だけやりたい放題されるだけに被害がとどまるでしょって話なんですけど。

67 ：名無しさん＠涙目です。：2018/04/15(日) 02:57:04.27 ID:89GSJj3N0.net

発言小町だろ？女にパスワード覚えられるかよ？そりゃ発狂するわ

68 ：名無しさん＠涙目です。：2018/04/15(日) 02:57:50.64 ID:BXjDQ+tA0.net

>>66
１ヶ月やりたい放題されたらもう致命的だと思うんですけど

69 ：名無しさん＠涙目です。：2018/04/15(日) 02:58:11.63 ID:7CWkZhL40.net

いや、もうパスワード変えるのは古いからw

70 ：名無しさん＠涙目です。：2018/04/15(日) 02:58:31.29 ID:ORsX7fUk0.net

>>66
どんな想定だよ
アホか

71 ：名無しさん＠涙目です。：2018/04/15(日) 02:58:41.39 ID:zRoNNs9O0.net

うちは去年まで1ヶ月ごとだったけど今年から3ヶ月ごとになって楽になった
まぁPCログインとメールとメイン業務ソフトと顧客DBと勤怠管理で
毎日5つもIDとパスワード打たなきゃならんけど

72 ：名無しさん＠涙目です。：2018/04/15(日) 02:58:46.60 ID:lOjzoGKG0.net

>>63
何で定期的にパスワード変更したら漏れやすいの？
手元を誰かに見られてるってことですか？

あと普通にWindowsのパスワード変更画面で前のパスワードと似てますって警告でたことないですか？
あれってマイクロソフトが本当はやってはいけない処理をやって判定してるってことですか？

73 ：名無しさん＠涙目です。：2018/04/15(日) 02:58:55.31 ID:6uOBAuLU0.net

>>64
さすがに危機意識低すぎ

74 ：名無しさん＠涙目です。：2018/04/15(日) 02:59:43.20 ID:yPL9ctPA0.net

小町で踊るな

75 ：名無しさん＠涙目です。：2018/04/15(日) 02:59:45.68 ID:CpcoBCeF0.net

いつも見てるぞ

76 ：名無しさん＠涙目です。：2018/04/15(日) 03:00:10.75 ID:NEl+cZuw0.net

USBの指紋認証のやつ付けてやれよ

77 ：名無しさん＠涙目です。：2018/04/15(日) 03:00:45.59 ID:lOjzoGKG0.net

>>68
だからその致命傷の期間を短くできるって言いたいんですけど。

78 ：名無しさん＠涙目です。：2018/04/15(日) 03:01:53.44 ID:ORsX7fUk0.net

>>77
1回でも入られたら終わりなんだよ
アホか

79 ：名無しさん＠涙目です。：2018/04/15(日) 03:01:57.70 ID:BXjDQ+tA0.net

>>77
１ヶ月も致命傷負いつづけたらもう死んでるって言いたいんだけど…

80 ：名無しさん＠涙目です。：2018/04/15(日) 03:02:53.46 ID:9SQXkwQs0.net

1ヶ月って10年前の知識かよ

81 ：ボックス ：2018/04/15(日) 03:03:00.53 ID:apYI8ahe0.net

>>62
一定の法則がないと
またわからなくなって情シスにバカにされるから
末尾は時間の数字2桁にしようw

あと会議とかで1時間以上変更できなかった場合は、終了次第即刻変更w
結果、帰宅も睡眠も認められないwww

82 ：名無しさん＠涙目です。：2018/04/15(日) 03:03:49.30 ID:pX3Awt710.net

一分でも侵入許したらバックドア仕掛けられて
それ以降、パスワード何回変えてもやりたい放題される

83 ：名無しさん＠涙目です。：2018/04/15(日) 03:04:02.85 ID:k3sI38v30.net

まぁ仕事中鼻くそほじくりながらスマホゲーやってる管理者がいる会社は定期的に変えさせる方がいいのかもね
変えないより被害は減るでしょう。0.00何パーセントぐらい

84 ：名無しさん＠涙目です。：2018/04/15(日) 03:04:22.06 ID:mpnwRYm40.net

>>72
定期的にパスワード変更を強要することで
紙のメモをとっておく、他所で使ってるパスワードを使い回すようになる等のパスワードの管理がより杜撰になるんだよ

そうだと思うよ。
本当にちゃんとしたパスワード保管はちゃんと暗号化されているので
システム管理者にも分からないし、暗号化されたパスワードを見ても何の意味もない
過去のものとの類推なども当然不可能


以前、2chがクレジットカード番号等をおもらししたのは
暗号化せずに平文で保存していたので、それを丸々おもらしして大惨事になったんだよ

85 ：名無しさん＠涙目です。：2018/04/15(日) 03:06:51.92 ID:lOjzoGKG0.net

>>78,79
つまり、入られた後の対策は一切考えないって事で良いですか？
入られない事が一番の対策だってのは分かるんですけど、入られた場合の対策無しってそれはそれでどうなのと思うんですけど。

86 ：ボックス ：2018/04/15(日) 03:07:28.42 ID:apYI8ahe0.net

>>73
ICカード導入してるのに
席にいないはずの人間がPC使ったとか
リアルタイムはおろか、事後にもわからないようでは
セキュリティ部門として意識低すぎだよね

87 ：名無しさん＠涙目です。：2018/04/15(日) 03:07:28.70 ID:CpcoBCeF0.net

指紋なんて指切り取られたら終わりじゃん

88 ：名無しさん＠涙目です。：2018/04/15(日) 03:08:42.13 ID:ORsX7fUk0.net

>>85
まともなシステムは不正を検知できるようになってる
お前の言うような目的で定期更新させるのは馬鹿としか言えない

89 ：名無しさん＠涙目です。：2018/04/15(日) 03:08:56.80 ID:mpnwRYm40.net

>>85
パスワードが流出して不正アクセスがあったら
それに気がつくのはまた別のお仕事

それができないからその責任をパスワードを
定期的に変更させるというのは筋違い

90 ：名無しさん＠涙目です。：2018/04/15(日) 03:09:24.30 ID:cyqgyeRT0.net

パスワード認証の生みの親が
この方法はもうダメぽ
って言ってたからな

複数の長いパスワードは凡人の脳では管理できん

91 ：名無しさん＠涙目です。：2018/04/15(日) 03:09:25.13 ID:kdl5u2Qw0.net

パスワード月イチ変更はアメリカのセキュリティ専門家が言い出して政府機関の標準に採用されて広まったんだがあれは誤りだったって何年も前に改められている

92 ：名無しさん＠涙目です。：2018/04/15(日) 03:10:05.07 ID:k3sI38v30.net

侵入された場合端末にも何かしら異変が起こるはずなんだけどそれに気づかないユーザーもどうかと思うね

93 ：名無しさん＠涙目です。：2018/04/15(日) 03:11:04.93 ID:BXjDQ+tA0.net

>>85
いや43で書いてるだろ
セキュリティーは多層的にやるべきだって
パスワードは破られないことだけ考えてりゃええねん
破られた時はまた別のセキュリティーの仕組みで対応するべし

94 ：名無しさん＠涙目です。：2018/04/15(日) 03:11:11.43 ID:mpnwRYm40.net

>>90>>91
たぶんそういう歴史的な背景とかも知らないんだろうな
勉強不足だよ

95 ：名無しさん＠涙目です。：2018/04/15(日) 03:11:36.16 ID:/OvAmzf+0.net

>>87
この種の非現実的な妄想でリスクを語るバカが一番アホ。

銀行ATMで指や手のひらで静脈認証が行わなれるようになってから
何件切り落とし事案があったよ？
眼球の静脈認証が高度なセキュリティ施設で行われるようになって
目玉繰り出し事案が何件あったよ。

重度の障害・殺さなければ突破できないセキュリティは
ほぼ突破できないと同義。
それがわからないラノベ脳はもうすこしリアルな「人間」と向き合うべき。

96 ：名無しさん＠涙目です。：2018/04/15(日) 03:11:40.32 ID:6uOBAuLU0.net

キーロガー仕掛けられたらパスワード変えれば変えるだけ法則性ばれて携帯や銀行のパスワードまで推測されかねない

97 ：名無しさん＠涙目です。：2018/04/15(日) 03:12:30.15 ID:Vd9fPXRt0.net

英数字の組み合わせ強要はまだ許せる
それにくわえて大文字小文字混在許容は許せん

98 ：名無しさん＠涙目です。：2018/04/15(日) 03:12:32.96 ID:lOjzoGKG0.net

>>88
例えばノートPCからVPNで接続する場合、パスワードがあってればそれが不正なアクセスかどうかなんて分からなくないですか？

なにもとらず、悪させず、普通にファイル閲覧して閉じるみたいなアクセスとか。

99 ：名無しさん＠涙目です。：2018/04/15(日) 03:13:47.14 ID:yzRTAs4m0.net

>>95
でも寝てるときに読み込ませるというのは多いみたいじゃない

100 ：名無しさん＠涙目です。：2018/04/15(日) 03:14:14.63 ID:ORsX7fUk0.net

>>98
それは既にVPNのアクセス権を奪われてるわけだが