時事ネタ

    セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ!」→炎上wwwwwwwwwwwwwwwwwwwwww

    no title


    1: 名無しさん 2018/04/15(日) 02:08:28.17 ID:shpnhuow0● BE:218927532-PLT(13121)
    インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
    セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
    「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

    話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
    会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
    「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
    そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
    「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

    社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
    「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
    正常にできるだろうか」とアドバイスを求めたのだった。

    この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
    仕事ではないか」と、猛反発する声が大半。

    たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
    どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
    優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

    また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
    投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
    パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
    そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

    http://news.livedoor.com/article/detail/14579258/
    14: 名無しさん 2018/04/15(日) 02:21:25.62 ID:apYI8ahe0
    >>1 
    > パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。 

    これも、提言してた人が 
    ほとんど意味なかったわ。桁数が多い方がいいわ。 

    って言ってなかったっけ

    273: 名無しさん 2018/04/15(日) 08:47:11.97 ID:BHOy4TMs0
    どっかでパスワードはユーザ負担の大きいセキュリティ対策だとか読んだな 
    そういう意味では>>1のシステム担当の方が意識が低いんじゃね

    4: 名無しさん 2018/04/15(日) 02:11:01.77 ID:blgrF3S00
    パスワードコロコロ変えると覚えられないから、 
    忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる



    【愕然】アルバイトのおっさん(40)を集団リンチした犯人の末路wwwwwwww


    【鬼畜】性的虐待を受けたJCが涙の訴え「この話を聞いても興奮できますか?」

    ライザップした美人、ライザップ前のムチムチの方がかわいいと話題になってしまうwww(画像)

    胸が大きすぎる女の子がワイシャツをきた結果www(画像)

    女子小学生コスプレイヤーの愛菜たん、卑猥だと苦情を受け謝罪wwww 

    【悲報】小池栄子さん、セクシービデオデビュー


    5: 名無しさん 2018/04/15(日) 02:12:24.20 ID:ORsX7fUk0
    そもそも覚えられるパスワードは安全ではない

    37: 名無しさん 2018/04/15(日) 02:43:04.21 ID:mpnwRYm40
    >>5
    英数記号16桁は手が覚える
    おそらく24桁も行ける
    8桁の組み合わせだと思えば意外とちょろい

    6: 名無しさん 2018/04/15(日) 02:14:55.69 ID:k3sI38v30
    アホ「パスワード忘れたんで教えてください」
    管理者の俺「いや、俺も知らない」

    7: 名無しさん 2018/04/15(日) 02:14:56.90 ID:6bb93f6U0
    パスワードは変えても変えなくても破られる確率は一緒です
    だからアイフォンはパスワードではなく顔認証なんだろ

    8: 名無しさん 2018/04/15(日) 02:15:54.36 ID:Ot5AX8dE0
    月一で変更とかセキュリティ担当の責任回避が目的だろ

    9: 名無しさん 2018/04/15(日) 02:16:16.29 ID:D1P9YZJS0
    俺が使ってる法人向けネットバンキングは3カ月毎に2種類のパスワードを変更しないといけない
    しかも過去に使ったパスワードは不可だから紙にメモして残してる
    さらにワンタイムパスワードも必要だからめんどくさい

    11: 名無しさん 2018/04/15(日) 02:17:30.30 ID:Sr5dvi9c0
    この手の奴がパスワードマネージャーはじくフォーム作るんだろうか

    12: 名無しさん 2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0
    パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
    何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。

    19: 名無しさん 2018/04/15(日) 02:24:33.19 ID:k3sI38v30
    >>12
    それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話

    13: 名無しさん 2018/04/15(日) 02:21:21.83 ID:lOjzoGKG0
    パスワード変更は意味がないって主張どういう根拠で言ってるんだ?

    18: 名無しさん 2018/04/15(日) 02:24:32.52 ID:apYI8ahe0
    >>13
    8桁パスワードで考えた場合

    10年間変えず破られる確率と
    毎秒変えて破られる確率の差

    0.000001% だから

    ソースは日経コンピュータ2014年10.16号

    258: 名無しさん 2018/04/15(日) 08:26:59.15 ID:+M9CMKPk0
    >>13
    変更自体には意味はある
    定期的なパスワード変更が無用なのは、一人だけがそのパスワードを使うケース

    社内で複数の人間が同じパスワードを使うような場合は漏洩もしやすいし発覚しにくいから定期的にパスワード変更は有用

    265: 名無しさん 2018/04/15(日) 08:34:35.08 ID:mpnwRYm40
    >>258
    社内の複数人が同じパスワードを使い回すような運用がそもそも間違ってるし
    そんなことをやってるならもはやそのシステムにパスワードは本当に必要なのかを疑った方がいい

    267: 名無しさん 2018/04/15(日) 08:35:02.94 ID:hIugW3IY0
    >>258
    パスワードの定期更新は必要ないとパスワードの世界標準を決めている米国政府機関のNISTが公式に決めたぞ

    16: 名無しさん 2018/04/15(日) 02:22:51.48 ID:UVDjEOep0
    頻繁に入力するパスワードなら覚えられるけどな
    この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ

    21: 名無しさん 2018/04/15(日) 02:29:42.42 ID:apYI8ahe0
    >>16
    どこに毎日使うシステムって書いてあるよ?
    ログインだから毎日?
    じゃあおめー、今まで作ったログインするシステム、フリーメールやプロバイダメールとか、ヤフーや楽天やアマゾン、毎日全部手動でログインしてるのかよ?

    26: 名無しさん 2018/04/15(日) 02:35:40.01 ID:lOjzoGKG0
    >>21
    じゃあ毎日使うログインパスワードなんかは変える意味はあるということで良いですか?

    283: 名無しさん 2018/04/15(日) 08:51:54.05 ID:RQShTuGA0
    >>21
    会社のシステムにログインするときは手打ち必須じゃないの?

    23: 名無しさん 2018/04/15(日) 02:32:06.75 ID:lOjzoGKG0
    パスワード変えなければ気づかないまま漏れたパスワードで悪さをされ放題だけど、定期的なパスワード変更してれば、そのパスワード変更以降は少なくとも悪さされないじゃない。

    33: 名無しさん 2018/04/15(日) 02:41:03.74 ID:BXjDQ+tA0
    >>23
    毎月パスワード変えれなんて言われたら普通は面倒臭いから適当なパスワード設定するだろ
    tanaka001→tanaka002→tanaka003 みたいね

    そんなヌルいパスワード設定される位ならきっちりした英語大文字小文字数字混じりのパスワードをずっと使ってもらう方が破られずらいってことよ
    パスワード流出した場合はtanaka003とかなら正解パスワードすぐに推測されるし

    38: 名無しさん 2018/04/15(日) 02:43:19.45 ID:lOjzoGKG0
    >>33
    というか、今時のシステムだと数字一つ変えたくらいだと前のパスワードと似てますって警告出て変更できなくない?
    結構古いシステム使ってます?

    41: 名無しさん 2018/04/15(日) 02:44:33.90 ID:mpnwRYm40
    >>38
    前のパスワードと似てると指摘できるってことは
    パスワードは暗号化されず平文で保存されてるのかね?
    そっちのほうが危なくね?

    27: 名無しさん 2018/04/15(日) 02:35:47.97 ID:ENja+vG30
    漏れて不正アクセスされた時点でアウトだから無意味だよw
    ネットバンキングがやられて預金全部どこかに送金された後だったとして、
    「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか?w

    32: 名無しさん 2018/04/15(日) 02:38:53.36 ID:lOjzoGKG0
    >>27
    何か盗まれるとかそんな分かりやすいものじゃなくて、社内の機密情報閲覧され続けるって可能性もあるじゃない。

    34: 名無しさん 2018/04/15(日) 02:41:17.16 ID:ENja+vG30
    >>32
    社内の機密情報(笑)の場合、全員が一斉に変える訳では無いのだから「定期的に買えても」他の誰かがいるw
    そもそも、不正アクセスに気づかず情報抜かれ放題な時点でアウトだwww

    48: 名無しさん 2018/04/15(日) 02:47:53.71 ID:lOjzoGKG0
    >>34
    全員が同じパスワード使ってるわけじゃないんだからみんな一斉に変わらなくても別に良くないですか?

    不正アクセスに気づかず情報抜かれ放題な時点でアウトという意見はそこそこ同意なんだけど、だからこそそういうアウトな状態になったとしても、そんな状態を少なくするようにするべきかと。

    究極的にはリモートから会社にアクセスできないようにするしかないけど、そんなことしたらリモートワークできない。

    43: 名無しさん 2018/04/15(日) 02:45:33.77 ID:BXjDQ+tA0
    >>32
    パスワードだけじゃなく社外からの不正アクセス検知機構とか、
    パスワード漏れた場合にすぐ判別出来る仕組みとか、
    関係者以外が必要以上の機密情報にアクセス出来ない仕組みとか、
    情報漏れたときにすぐに把握出来る仕組みとかで多重構造的に守る仕組みが必要ってのが今のセキュリティーのあり方らしいぞ

    29: 名無しさん 2018/04/15(日) 02:36:56.55 ID:V0gF5NvX0
    入り口はカードロックあるんだから、社外ログインさえはじけばパスワード変更なんか要らんと思うがなあ
    情シって暇なんだろうな自分らで仕事作り出して人の邪魔する部門

    51: 名無しさん 2018/04/15(日) 02:48:43.28 ID:RdTqEBGQ0
    >>29
    本当に恐ろしいのは内部犯よ
    人事情報を覗きたい。役職者になりすましてメール送信
    誤発注で嫌いな奴を失脚etc...etc...
    ログは残るかもしれんが記録にある人間と操作した人間が同じと証明するにはどうする?
    監視カメラか?それはそれで別問題に発展するが

    64: 名無しさん 2018/04/15(日) 02:55:51.58 ID:V0gF5NvX0
    >>51
    そんな妄想に対応するためにセキュリティやってんのかよw
    だからさー出入口のカードログでPCの持ち主は席に居ないの分かるだろー?w

    73: 名無しさん 2018/04/15(日) 02:58:55.31 ID:6uOBAuLU0
    >>64
    さすがに危機意識低すぎ

    86: 名無しさん 2018/04/15(日) 03:07:28.42 ID:apYI8ahe0
    >>73
    ICカード導入してるのに
    席にいないはずの人間がPC使ったとか
    リアルタイムはおろか、事後にもわからないようでは
    セキュリティ部門として意識低すぎだよね

    30: 名無しさん 2018/04/15(日) 02:37:20.15 ID:xiXxYevp0
    そもそもパスワードを求められる場面が多すぎて
    それぞれ違ったパスワードを月一で変更とか狂気でしかない
    会社のPC(個人×1、店舗×2)、自宅のPC、スマホの起動パスワード
    社内メール、社外メール、数値分析ソフト、各種電子申請用ソフト、商品発注システム、備品発注システム、作業用PDA端末ログイン
    各種SNSアカウント、Amazonや動画音楽Webサービス

    35: 名無しさん 2018/04/15(日) 02:41:21.80 ID:lOjzoGKG0
    定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの?

    39: 名無しさん 2018/04/15(日) 02:43:54.95 ID:t9Fw9A9v0
    >>35
    セキュリティーは使う側に合わせるのが仕事だよ

    52: 名無しさん 2018/04/15(日) 02:49:50.74 ID:mpnwRYm40
    >>35
    だから定期的にパスワードを変更することはなんらリスク低減にはならん
    むしろそのリスクを増すというのが最近の潮流だって

    36: 名無しさん 2018/04/15(日) 02:43:00.46 ID:t9Fw9A9v0
    変えてセキュリティー効果上がる以上にユーザーが忘れるリスクがデカい
    机上の空論でしかない



    【衝撃画像】発見があと10分遅ければ死んでいたと言われた女の裸がこちらです…

    【画像】このセクシービデオでもう5年ぐらいお世話になってるwwwww

    恋愛を繰り返す女友達が気付いたら山伏になっていたwwwwwwwwwwwww

    渋谷すばる、関ジャニ脱退へ とFRIDAYが報道 大パニックに・・・

    【画像】セクシーすぎる空手家発見ww試合中に晒してしまうwww

    引用元: ・http://hayabusa9.5ch.net/test/read.cgi/news/1523725708/

    COMMENT

    • 名無しさん@おくったー

      パスワード数年変更してないもので、不正ログインされたってどれくらいいるんだろう
      無論、短いとか生年月日とかのパスワード使ってるのは論外だけど
      2018年04月15日 22:25