(取材しました)90日ごとにゲンナリしてた記憶があります、、
えぇ...../“ひょっとするとパスワードの定期変更ルールに関しては、インシデントが起きてもなお見直されにくい”
Pマーク認証みたいに認証受ける際にルール化してしまって変えるのメンドクセってことなんじゃないのか 認証取得だけでもかなりめんどくさいからな あんなの繰り返したくない
定期変更させるせいで簡素なパスワードになったり使い回しが横行するのである
パスワード強度チェックを設定画面に必ず入れてクリアしたらホワイトリストに入れる、漏洩したパスワードと比較して該当したらブラックリストに入れる運用で、ホワイトの人だけ変更強制しないとか無理かな?
認知負荷が増えるだけでセキュリティに寄与しないやつ
担当者もそんなに技術に興味なくて、パスワードの定期変更はもう推奨されてないこと自体知らないとかそういうレベルだと思われ。
今でもPCに付箋でパスワードが貼られています...まで読んだ
定期変更パスワードには簡単な単語+連番が便利。記号を求められたらJISキーボードならシフトキーを押さずに済む@かな。
弊社、未だにWindowsがログイン時にそういう要求をしてくる
クソみたいな作業。変更に失敗して重要なシステムに入れなくなるミスをやらかした管理者とかいたし、意味不明
パスワードもありますし、添付ファイルにパスワードもありますし
とても覚えられないからみんなメモしたりエクセルみたいなデジタルデータで記録してるわ。忘れて管理部門に怒られるのは嫌だからな
プロパーの社員は違うみたいだが、パートナー向けに提供しているサービス・リソース毎にアカウントがバラバラな上に、定期変更を要求するものが4つある環境で仕事してます。
いや企業に遵守させるならISMSやプライバシーマークの要件変えるしかないんじゃないの?結局そこ変わらんなら「別にやらんでいいやつだ」になるでしょ。なんかやるとなって人が動けば金かかるんだから。
某銀行の法人向けネットバンキングがパスワード定期更新&日替り警告メッセージで、むしろソーシャルハッキングが付け入る隙を作ってる感。
定期変更は廃される予定なんだけど、延期の繰り返し。システム上の問題なのか、頭が硬い抵抗勢力がいるのか。
てか、アカマイとかも同様のルールがあるので、日本の企業に限った話じゃないよね
「管理者のアリバイづくり」
うちの企業グループではパスワードの定期変更ポリシーは無くなったのでようやく一歩前進。パスワードマネージャの利用も認めてくれれば、と思うんだが。
セキュリティに関する上位規定が変わらないと下々の者には何もできません
“2019年の調査では「定期変更を止めた」とした企業はわずか8.0%で、「これまで通りパスワードの定期変更を行っている」とした企業が54.5%”
いやいや、現場は声を上げているでしょう。単に優先順位が低いとかでスルーされてるだけです
日本でも有数のIT系でもこういうことやっててあきれる
"本当に社会を良くするためには、そこから一歩踏み込んで「なぜ、そのようなずさんな管理が起きてしまったのか」を追及することが必要だ"
うちの会社も90日だった。会社が責任を個人に押し付けたいからなんだろう。簡単なパスワードにするのは個人の責任、変更不要にするのは会社の責任。
類推されにくいパスワードを定期的に変更するのは無意味だったってことかな。無意味なルールを推奨していた皆さんが、今度は意味あるルールを推奨している根拠を見せてよ。ルールの定期的な変更に意味があるのかな?
英文を書くのに馴染みがない人には長いパスワードはきつい。無理にやろうとすると情シスにログインできないとかいう連絡が多くなってコストが跳ね上がる。定期変更の方がマシみたいになってる気がする。
楽天やん
年に1回しか使わない健康診断の予約システムがパスワードを定期変更させてくるのほんとだるい。毎回再発行してるから最初からワンタイムにしてくれ
ウチの会社はちゃんとポリシー見直したよ。/ “「利用者が頑張ってルールを守れば安全になる」という前提に立ち、面倒ごとや責任の一切を個人に押しつけている”
共有IDや共有端末の問題があり、異動時のパスワード変更が必要というのはある。あとはパスワード管理ツールが会社で用意されないと、複雑なパスワード設定は厳しい。
さすがにもうやべー企業扱いで良いと思う。個人資産を預けたりはしない。
SaaS側が対応してくれないと何もできませーん
“管理部門や経営層は「会社として、「パスワードは90日ごと変更しなさい」と伝えていた。それを守らず、安易なパスワードを使い回した利用者が悪い」と、責任を、利用者個人へと転嫁できます。”
今まさに変更しろって迫られてるわ
そんな会社ありますう?!
取引先が未だにPPAPでファイル送ってくるんだけど…
"新システム"を導入した弊社、これまで8文字だったパスワードを13文字以上にして引き続き60日おきに変更要にしたから完璧👌にメモしとかないとログイン失敗した時にタイプミスなんかわからんくなった、役満
NISTが2017年に定期変更は不要と言った時から9年間社内で言い続けてますが全く変わりません。これ逆にISMSで「まさかパスワードの定期変更を強要していませんよね」みたいな事をやって貰わないと駄目。
最近はPINとかなんやらで。スマホは指紋認証付いてるがPCはあんまりな。言うてもマウスやキーボードに付けてないと利便性が。
日本年金機構「え?」
三か月更新を強いられてます。グローバル系顧客に。しかし若干理解もする。ガチでインアウト多くてシステム管理がインド、実際怪しいメールも英語でバンバン飛んでくる。デカすぎてルール更新が伝達しきらない
未だにPPAPも全然あるしなぁ…マジでJTCはどーしょーもない。
年金ネットとかね
数年前に同席した弊社システムの開発会議でベンダーがパスワードの定期変更を提案したから、NISTの情報を送って「こんな時代錯誤の会社は外せ」と超婉曲に上申したが一切無視でシステム完成、末尾一字を変える日々笑
ID/PW共用してるシステムとかには定期変更もアリだけどね。抜けた奴には使わせないってやつ。 そりゃ個人毎にID作る/Directry連携すりゃいいのだが…
ほんまこれ
うちは、いつの間にか定期変更なくなってた。珍しいのかな?PPAP使う企業は減ってるよね?//定期変更なくてもクソパスワード使う先輩いたわ。仕事は有能なのに。俺の目の前で堂々とクソパスワード入れてた
人間にとって惰性は最強だからな
社内システムだと2種類のパスワードを行ったり来たりしてたな。
最も厳しくあるべき金融機関が、これを求めてくるのいつも腹が立つ、郵貯ビズとかは促すどころか強制的に変えさせられるし
P@ssw0rd ⇒ P@ssw1st ⇒ P@ssw2nd ⇒ P@ssw3rd ⇒ P@ssw4th とかやり出す人が出るからよくないね
こういう管理側のアリバイ作りのためのムダな仕事がわが国の生産性を下げている。特に行政関係は酷いもんだよ
読んでるか!三菱UFJ銀行の法人向けネットバンキング!!愚にもつかないUI/UXの悪化と強制警告メッセージでお茶濁してやってるエビデンスはもうたくさんなんです!俺はパスワード末尾を123と変えてるだけです!
パスワード定期変更がなくなったら多要素認証が義務付けられて私物の携帯を使わないと始業できなくなった。なにか釈然としない(´・ω・`)
定期変更のたびに3回変更して元に戻している私は実質「パスワード定期変更を行っていない」イケてる運用を実現しているのかもしれないっ!
社員、関連会社や派遣社員すべて統一的にパスキー認証可能な端末やスマホを配ることが財政的に困難だから。中小企業だと特に。
攻撃側が定期パスワード変更を利用したパスワード攻撃すればなんとかなるのか?
パスワードの定期変更を強要することで、他とのパスワード使い回しを阻止するという話かと思ったら違うのか。
NISTの最新ガイドラインでは定期変更は不要ではなく禁止。使い回しや推測しやすいパスワードを助長するので、定期変更は無意味というより有害だから
弊社はPCログイン時のパスワードは90日変更ルールがあったが数年前に廃止されて変更不要になった (ちな基本フルリモート)。転職市場における重要な判断基準の一つであるべきだと思うよ。
パスワードの「定期」変更が悪いという話に尾鰭がついてパスワードは変えなくて良いみたいになってるが、悪いのは「定期」だからね。侵害検知できないシステムならたまに変えた方がいいよ。
わかっちゃいるけどゼロトラスト型への変換コストを考えると別にいいやとなってるはず。情シスのアリバイ作りと社員への責任転嫁説はその通りと思う。
今も「パスワードの定期変更」ルールが生き残っている企業では、何が起きているのか【フォーカス】 - レバテックLAB
(取材しました)90日ごとにゲンナリしてた記憶があります、、
えぇ...../“ひょっとするとパスワードの定期変更ルールに関しては、インシデントが起きてもなお見直されにくい”
Pマーク認証みたいに認証受ける際にルール化してしまって変えるのメンドクセってことなんじゃないのか 認証取得だけでもかなりめんどくさいからな あんなの繰り返したくない
定期変更させるせいで簡素なパスワードになったり使い回しが横行するのである
パスワード強度チェックを設定画面に必ず入れてクリアしたらホワイトリストに入れる、漏洩したパスワードと比較して該当したらブラックリストに入れる運用で、ホワイトの人だけ変更強制しないとか無理かな?
認知負荷が増えるだけでセキュリティに寄与しないやつ
担当者もそんなに技術に興味なくて、パスワードの定期変更はもう推奨されてないこと自体知らないとかそういうレベルだと思われ。
今でもPCに付箋でパスワードが貼られています...まで読んだ
定期変更パスワードには簡単な単語+連番が便利。記号を求められたらJISキーボードならシフトキーを押さずに済む@かな。
弊社、未だにWindowsがログイン時にそういう要求をしてくる
クソみたいな作業。変更に失敗して重要なシステムに入れなくなるミスをやらかした管理者とかいたし、意味不明
パスワードもありますし、添付ファイルにパスワードもありますし
とても覚えられないからみんなメモしたりエクセルみたいなデジタルデータで記録してるわ。忘れて管理部門に怒られるのは嫌だからな
プロパーの社員は違うみたいだが、パートナー向けに提供しているサービス・リソース毎にアカウントがバラバラな上に、定期変更を要求するものが4つある環境で仕事してます。
いや企業に遵守させるならISMSやプライバシーマークの要件変えるしかないんじゃないの?結局そこ変わらんなら「別にやらんでいいやつだ」になるでしょ。なんかやるとなって人が動けば金かかるんだから。
某銀行の法人向けネットバンキングがパスワード定期更新&日替り警告メッセージで、むしろソーシャルハッキングが付け入る隙を作ってる感。
定期変更は廃される予定なんだけど、延期の繰り返し。システム上の問題なのか、頭が硬い抵抗勢力がいるのか。
てか、アカマイとかも同様のルールがあるので、日本の企業に限った話じゃないよね
「管理者のアリバイづくり」
うちの企業グループではパスワードの定期変更ポリシーは無くなったのでようやく一歩前進。パスワードマネージャの利用も認めてくれれば、と思うんだが。
セキュリティに関する上位規定が変わらないと下々の者には何もできません
“2019年の調査では「定期変更を止めた」とした企業はわずか8.0%で、「これまで通りパスワードの定期変更を行っている」とした企業が54.5%”
いやいや、現場は声を上げているでしょう。単に優先順位が低いとかでスルーされてるだけです
日本でも有数のIT系でもこういうことやっててあきれる
"本当に社会を良くするためには、そこから一歩踏み込んで「なぜ、そのようなずさんな管理が起きてしまったのか」を追及することが必要だ"
うちの会社も90日だった。会社が責任を個人に押し付けたいからなんだろう。簡単なパスワードにするのは個人の責任、変更不要にするのは会社の責任。
類推されにくいパスワードを定期的に変更するのは無意味だったってことかな。無意味なルールを推奨していた皆さんが、今度は意味あるルールを推奨している根拠を見せてよ。ルールの定期的な変更に意味があるのかな?
英文を書くのに馴染みがない人には長いパスワードはきつい。無理にやろうとすると情シスにログインできないとかいう連絡が多くなってコストが跳ね上がる。定期変更の方がマシみたいになってる気がする。
楽天やん
年に1回しか使わない健康診断の予約システムがパスワードを定期変更させてくるのほんとだるい。毎回再発行してるから最初からワンタイムにしてくれ
ウチの会社はちゃんとポリシー見直したよ。/ “「利用者が頑張ってルールを守れば安全になる」という前提に立ち、面倒ごとや責任の一切を個人に押しつけている”
共有IDや共有端末の問題があり、異動時のパスワード変更が必要というのはある。あとはパスワード管理ツールが会社で用意されないと、複雑なパスワード設定は厳しい。
さすがにもうやべー企業扱いで良いと思う。個人資産を預けたりはしない。
SaaS側が対応してくれないと何もできませーん
“管理部門や経営層は「会社として、「パスワードは90日ごと変更しなさい」と伝えていた。それを守らず、安易なパスワードを使い回した利用者が悪い」と、責任を、利用者個人へと転嫁できます。”
今まさに変更しろって迫られてるわ
そんな会社ありますう?!
取引先が未だにPPAPでファイル送ってくるんだけど…
"新システム"を導入した弊社、これまで8文字だったパスワードを13文字以上にして引き続き60日おきに変更要にしたから完璧👌にメモしとかないとログイン失敗した時にタイプミスなんかわからんくなった、役満
NISTが2017年に定期変更は不要と言った時から9年間社内で言い続けてますが全く変わりません。これ逆にISMSで「まさかパスワードの定期変更を強要していませんよね」みたいな事をやって貰わないと駄目。
最近はPINとかなんやらで。スマホは指紋認証付いてるがPCはあんまりな。言うてもマウスやキーボードに付けてないと利便性が。
日本年金機構「え?」
三か月更新を強いられてます。グローバル系顧客に。しかし若干理解もする。ガチでインアウト多くてシステム管理がインド、実際怪しいメールも英語でバンバン飛んでくる。デカすぎてルール更新が伝達しきらない
未だにPPAPも全然あるしなぁ…マジでJTCはどーしょーもない。
年金ネットとかね
数年前に同席した弊社システムの開発会議でベンダーがパスワードの定期変更を提案したから、NISTの情報を送って「こんな時代錯誤の会社は外せ」と超婉曲に上申したが一切無視でシステム完成、末尾一字を変える日々笑
ID/PW共用してるシステムとかには定期変更もアリだけどね。抜けた奴には使わせないってやつ。 そりゃ個人毎にID作る/Directry連携すりゃいいのだが…
ほんまこれ
うちは、いつの間にか定期変更なくなってた。珍しいのかな?PPAP使う企業は減ってるよね?//定期変更なくてもクソパスワード使う先輩いたわ。仕事は有能なのに。俺の目の前で堂々とクソパスワード入れてた
人間にとって惰性は最強だからな
社内システムだと2種類のパスワードを行ったり来たりしてたな。
最も厳しくあるべき金融機関が、これを求めてくるのいつも腹が立つ、郵貯ビズとかは促すどころか強制的に変えさせられるし
P@ssw0rd ⇒ P@ssw1st ⇒ P@ssw2nd ⇒ P@ssw3rd ⇒ P@ssw4th とかやり出す人が出るからよくないね
こういう管理側のアリバイ作りのためのムダな仕事がわが国の生産性を下げている。特に行政関係は酷いもんだよ
読んでるか!三菱UFJ銀行の法人向けネットバンキング!!愚にもつかないUI/UXの悪化と強制警告メッセージでお茶濁してやってるエビデンスはもうたくさんなんです!俺はパスワード末尾を123と変えてるだけです!
パスワード定期変更がなくなったら多要素認証が義務付けられて私物の携帯を使わないと始業できなくなった。なにか釈然としない(´・ω・`)
定期変更のたびに3回変更して元に戻している私は実質「パスワード定期変更を行っていない」イケてる運用を実現しているのかもしれないっ!
社員、関連会社や派遣社員すべて統一的にパスキー認証可能な端末やスマホを配ることが財政的に困難だから。中小企業だと特に。
攻撃側が定期パスワード変更を利用したパスワード攻撃すればなんとかなるのか?
パスワードの定期変更を強要することで、他とのパスワード使い回しを阻止するという話かと思ったら違うのか。
NISTの最新ガイドラインでは定期変更は不要ではなく禁止。使い回しや推測しやすいパスワードを助長するので、定期変更は無意味というより有害だから
弊社はPCログイン時のパスワードは90日変更ルールがあったが数年前に廃止されて変更不要になった (ちな基本フルリモート)。転職市場における重要な判断基準の一つであるべきだと思うよ。
パスワードの「定期」変更が悪いという話に尾鰭がついてパスワードは変えなくて良いみたいになってるが、悪いのは「定期」だからね。侵害検知できないシステムならたまに変えた方がいいよ。
わかっちゃいるけどゼロトラスト型への変換コストを考えると別にいいやとなってるはず。情シスのアリバイ作りと社員への責任転嫁説はその通りと思う。