【企業・業界】セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ!」→炎上

1 :マネーサテライト 2018/04/15(日) 02:08:28 shpnhuow0●
インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、
セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、
「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を
正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の
仕事ではないか」と、猛反発する声が大半。

たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、
どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに
優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、
投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

http://news.livedoor.com/article/detail/14579258/

5 :マネーサテライト 2018/04/15(日) 02:12:24 ORsX7fUk0
そもそも覚えられるパスワードは安全ではない
7 :マネーサテライト 2018/04/15(日) 02:14:56 6bb93f6U0
パスワードは変えても変えなくても破られる確率は一緒です
だからアイフォンはパスワードではなく顔認証なんだろ
8 :マネーサテライト 2018/04/15(日) 02:15:54 Ot5AX8dE0
月一で変更とかセキュリティ担当の責任回避が目的だろ
9 :マネーサテライト 2018/04/15(日) 02:16:16 D1P9YZJS0
俺が使ってる法人向けネットバンキングは3カ月毎に2種類のパスワードを変更しないといけない
しかも過去に使ったパスワードは不可だから紙にメモして残してる
さらにワンタイムパスワードも必要だからめんどくさい
12 :マネーサテライト 2018/04/15(日) 02:20:14 lOjzoGKG0
パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。
13 :マネーサテライト 2018/04/15(日) 02:21:21 lOjzoGKG0
パスワード変更は意味がないって主張どういう根拠で言ってるんだ?
258 :マネーサテライト 2018/04/15(日) 08:26:59 +M9CMKPk0
>>13
変更自体には意味はある
定期的なパスワード変更が無用なのは、一人だけがそのパスワードを使うケース

社内で複数の人間が同じパスワードを使うような場合は漏洩もしやすいし発覚しにくいから定期的にパスワード変更は有用

265 :マネーサテライト 2018/04/15(日) 08:34:35 mpnwRYm40
>>258
社内の複数人が同じパスワードを使い回すような運用がそもそも間違ってるし
そんなことをやってるならもはやそのシステムにパスワードは本当に必要なのかを疑った方がいい
14 :マネーサテライト 2018/04/15(日) 02:21:25 apYI8ahe0
>>1
> パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。

これも、提言してた人が
ほとんど意味なかったわ。桁数が多い方がいいわ。

って言ってなかったっけ

16 :マネーサテライト 2018/04/15(日) 02:22:51 UVDjEOep0
頻繁に入力するパスワードなら覚えられるけどな
この場合ログインパスワードなんだったら毎日使うし忘れる方がアホだろ
23 :マネーサテライト 2018/04/15(日) 02:32:06 lOjzoGKG0
パスワード変えなければ気づかないまま漏れたパスワードで悪さをされ放題だけど、定期的なパスワード変更してれば、そのパスワード変更以降は少なくとも悪さされないじゃない。
27 :マネーサテライト 2018/04/15(日) 02:35:47 ENja+vG30
漏れて不正アクセスされた時点でアウトだから無意味だよw
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか?w
32 :マネーサテライト 2018/04/15(日) 02:38:53 lOjzoGKG0
>>27
何か盗まれるとかそんな分かりやすいものじゃなくて、社内の機密情報閲覧され続けるって可能性もあるじゃない。
28 :マネーサテライト 2018/04/15(日) 02:36:09 KxPdQPDk0
アクセスされた痕跡確認の方が大事なんじゃねーのかな
169 :マネーサテライト 2018/04/15(日) 05:20:38 ttvSZ59I0
>>28
普段と違う端末からのログインを監視警告した方が有効ね
35 :マネーサテライト 2018/04/15(日) 02:41:21 lOjzoGKG0
定期的にパスワード変更してれば被害を小さくとどめられたのに、パスワード定期変更してなかったがために広がった場合誰がその被害補償してくれるの?
52 :マネーサテライト 2018/04/15(日) 02:49:50 mpnwRYm40
>>35
だから定期的にパスワードを変更することはなんらリスク低減にはならん
むしろそのリスクを増すというのが最近の潮流だって
226 :マネーサテライト 2018/04/15(日) 07:51:23 8DjHvMt90
>>35
パスワードを定期的に変えることよりも、普段とは異なる環境からログインされたときのログを残すことの方が重要。
36 :マネーサテライト 2018/04/15(日) 02:43:00 t9Fw9A9v0
変えてセキュリティー効果上がる以上にユーザーが忘れるリスクがデカい
机上の空論でしかない
44 :マネーサテライト 2018/04/15(日) 02:46:09 k3sI38v30
定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな
47 :マネーサテライト 2018/04/15(日) 02:47:24 tRtw+FSp0
一々新しいパスワードを自分で作って覚えて入力云々
一連の動作に妙にほとばしる人力感
53 :マネーサテライト 2018/04/15(日) 02:50:27 2KTTUZ9N0
パスワードの変更に効果はないよ今のセキュリティの常識
結局人が管理するから規則性が生まれるしランダムな文字列は覚えられない
いつの時代の話ししてんだか
54 :マネーサテライト 2018/04/15(日) 02:51:00 pcnV3mm+0
俺のgoogleのパス38桁あった
58 :マネーサテライト 2018/04/15(日) 02:52:20 lOjzoGKG0
漏れたパスワードを変更したらそのパスワードでログイン出来なくなるのに、
全く意味がない、という理屈が全く分からない。

ただ、生体認証やカード認証はなるほどと思いました。

60 :マネーサテライト 2018/04/15(日) 02:53:16 6uOBAuLU0
ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ
105 :マネーサテライト 2018/04/15(日) 03:17:59 LDLTPEWe0
結局、パスワードを複雑化してもどこかに今のパスワードを書いたメモを置くだけなんだよなぁ
ソーシャルハッキングの温床にしかならないわ
273 :マネーサテライト 2018/04/15(日) 08:47:11 BHOy4TMs0
どっかでパスワードはユーザ負担の大きいセキュリティ対策だとか読んだな
そういう意味では>>1のシステム担当の方が意識が低いんじゃね
426 :マネーサテライト 2018/04/15(日) 18:06:51 h40q+a450
>>1
未だにパスワードを頻繁に変更した方がセキュリティ向上につながると思ってる馬鹿がいるんだな

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です