(取材しました)90日ごとにゲンナリしてた記憶があります、、
えぇ...../“ひょっとするとパスワードの定期変更ルールに関しては、インシデントが起きてもなお見直されにくい”
Pマーク認証みたいに認証受ける際にルール化してしまって変えるのメンドクセってことなんじゃないのか 認証取得だけでもかなりめんどくさいからな あんなの繰り返したくない
定期変更させるせいで簡素なパスワードになったり使い回しが横行するのである
パスワード強度チェックを設定画面に必ず入れてクリアしたらホワイトリストに入れる、漏洩したパスワードと比較して該当したらブラックリストに入れる運用で、ホワイトの人だけ変更強制しないとか無理かな?
認知負荷が増えるだけでセキュリティに寄与しないやつ
担当者もそんなに技術に興味なくて、パスワードの定期変更はもう推奨されてないこと自体知らないとかそういうレベルだと思われ。
今でもPCに付箋でパスワードが貼られています...まで読んだ
定期変更パスワードには簡単な単語+連番が便利。記号を求められたらJISキーボードならシフトキーを押さずに済む@かな。
弊社、未だにWindowsがログイン時にそういう要求をしてくる
クソみたいな作業。変更に失敗して重要なシステムに入れなくなるミスをやらかした管理者とかいたし、意味不明
パスワードもありますし、添付ファイルにパスワードもありますし
とても覚えられないからみんなメモしたりエクセルみたいなデジタルデータで記録してるわ。忘れて管理部門に怒られるのは嫌だからな
プロパーの社員は違うみたいだが、パートナー向けに提供しているサービス・リソース毎にアカウントがバラバラな上に、定期変更を要求するものが4つある環境で仕事してます。
いや企業に遵守させるならISMSやプライバシーマークの要件変えるしかないんじゃないの?結局そこ変わらんなら「別にやらんでいいやつだ」になるでしょ。なんかやるとなって人が動けば金かかるんだから。
某銀行の法人向けネットバンキングがパスワード定期更新&日替り警告メッセージで、むしろソーシャルハッキングが付け入る隙を作ってる感。
定期変更は廃される予定なんだけど、延期の繰り返し。システム上の問題なのか、頭が硬い抵抗勢力がいるのか。
てか、アカマイとかも同様のルールがあるので、日本の企業に限った話じゃないよね
「管理者のアリバイづくり」
うちの企業グループではパスワードの定期変更ポリシーは無くなったのでようやく一歩前進。パスワードマネージャの利用も認めてくれれば、と思うんだが。
“2019年の調査では「定期変更を止めた」とした企業はわずか8.0%で、「これまで通りパスワードの定期変更を行っている」とした企業が54.5%”
いやいや、現場は声を上げているでしょう。単に優先順位が低いとかでスルーされてるだけです
日本でも有数のIT系でもこういうことやっててあきれる
"本当に社会を良くするためには、そこから一歩踏み込んで「なぜ、そのようなずさんな管理が起きてしまったのか」を追及することが必要だ"
うちの会社も90日だった。会社が責任を個人に押し付けたいからなんだろう。簡単なパスワードにするのは個人の責任、変更不要にするのは会社の責任。
類推されにくいパスワードを定期的に変更するのは無意味だったってことかな。無意味なルールを推奨していた皆さんが、今度は意味あるルールを推奨している根拠を見せてよ。ルールの定期的な変更に意味があるのかな?
英文を書くのに馴染みがない人には長いパスワードはきつい。無理にやろうとすると情シスにログインできないとかいう連絡が多くなってコストが跳ね上がる。定期変更の方がマシみたいになってる気がする。
楽天やん
年に1回しか使わない健康診断の予約システムがパスワードを定期変更させてくるのほんとだるい。毎回再発行してるから最初からワンタイムにしてくれ
ウチの会社はちゃんとポリシー見直したよ。/ “「利用者が頑張ってルールを守れば安全になる」という前提に立ち、面倒ごとや責任の一切を個人に押しつけている”
共有IDや共有端末の問題があり、異動時のパスワード変更が必要というのはある。あとはパスワード管理ツールが会社で用意されないと、複雑なパスワード設定は厳しい。
さすがにもうやべー企業扱いで良いと思う。個人資産を預けたりはしない。
SaaS側が対応してくれないと何もできませーん
“管理部門や経営層は「会社として、「パスワードは90日ごと変更しなさい」と伝えていた。それを守らず、安易なパスワードを使い回した利用者が悪い」と、責任を、利用者個人へと転嫁できます。”
今も「パスワードの定期変更」ルールが生き残っている企業では、何が起きているのか【フォーカス】 - レバテックLAB
(取材しました)90日ごとにゲンナリしてた記憶があります、、
えぇ...../“ひょっとするとパスワードの定期変更ルールに関しては、インシデントが起きてもなお見直されにくい”
Pマーク認証みたいに認証受ける際にルール化してしまって変えるのメンドクセってことなんじゃないのか 認証取得だけでもかなりめんどくさいからな あんなの繰り返したくない
定期変更させるせいで簡素なパスワードになったり使い回しが横行するのである
パスワード強度チェックを設定画面に必ず入れてクリアしたらホワイトリストに入れる、漏洩したパスワードと比較して該当したらブラックリストに入れる運用で、ホワイトの人だけ変更強制しないとか無理かな?
認知負荷が増えるだけでセキュリティに寄与しないやつ
担当者もそんなに技術に興味なくて、パスワードの定期変更はもう推奨されてないこと自体知らないとかそういうレベルだと思われ。
今でもPCに付箋でパスワードが貼られています...まで読んだ
定期変更パスワードには簡単な単語+連番が便利。記号を求められたらJISキーボードならシフトキーを押さずに済む@かな。
弊社、未だにWindowsがログイン時にそういう要求をしてくる
クソみたいな作業。変更に失敗して重要なシステムに入れなくなるミスをやらかした管理者とかいたし、意味不明
パスワードもありますし、添付ファイルにパスワードもありますし
とても覚えられないからみんなメモしたりエクセルみたいなデジタルデータで記録してるわ。忘れて管理部門に怒られるのは嫌だからな
プロパーの社員は違うみたいだが、パートナー向けに提供しているサービス・リソース毎にアカウントがバラバラな上に、定期変更を要求するものが4つある環境で仕事してます。
いや企業に遵守させるならISMSやプライバシーマークの要件変えるしかないんじゃないの?結局そこ変わらんなら「別にやらんでいいやつだ」になるでしょ。なんかやるとなって人が動けば金かかるんだから。
某銀行の法人向けネットバンキングがパスワード定期更新&日替り警告メッセージで、むしろソーシャルハッキングが付け入る隙を作ってる感。
定期変更は廃される予定なんだけど、延期の繰り返し。システム上の問題なのか、頭が硬い抵抗勢力がいるのか。
てか、アカマイとかも同様のルールがあるので、日本の企業に限った話じゃないよね
「管理者のアリバイづくり」
うちの企業グループではパスワードの定期変更ポリシーは無くなったのでようやく一歩前進。パスワードマネージャの利用も認めてくれれば、と思うんだが。
“2019年の調査では「定期変更を止めた」とした企業はわずか8.0%で、「これまで通りパスワードの定期変更を行っている」とした企業が54.5%”
いやいや、現場は声を上げているでしょう。単に優先順位が低いとかでスルーされてるだけです
日本でも有数のIT系でもこういうことやっててあきれる
"本当に社会を良くするためには、そこから一歩踏み込んで「なぜ、そのようなずさんな管理が起きてしまったのか」を追及することが必要だ"
うちの会社も90日だった。会社が責任を個人に押し付けたいからなんだろう。簡単なパスワードにするのは個人の責任、変更不要にするのは会社の責任。
類推されにくいパスワードを定期的に変更するのは無意味だったってことかな。無意味なルールを推奨していた皆さんが、今度は意味あるルールを推奨している根拠を見せてよ。ルールの定期的な変更に意味があるのかな?
英文を書くのに馴染みがない人には長いパスワードはきつい。無理にやろうとすると情シスにログインできないとかいう連絡が多くなってコストが跳ね上がる。定期変更の方がマシみたいになってる気がする。
楽天やん
年に1回しか使わない健康診断の予約システムがパスワードを定期変更させてくるのほんとだるい。毎回再発行してるから最初からワンタイムにしてくれ
ウチの会社はちゃんとポリシー見直したよ。/ “「利用者が頑張ってルールを守れば安全になる」という前提に立ち、面倒ごとや責任の一切を個人に押しつけている”
共有IDや共有端末の問題があり、異動時のパスワード変更が必要というのはある。あとはパスワード管理ツールが会社で用意されないと、複雑なパスワード設定は厳しい。
さすがにもうやべー企業扱いで良いと思う。個人資産を預けたりはしない。
SaaS側が対応してくれないと何もできませーん
“管理部門や経営層は「会社として、「パスワードは90日ごと変更しなさい」と伝えていた。それを守らず、安易なパスワードを使い回した利用者が悪い」と、責任を、利用者個人へと転嫁できます。”