話題のポストより
会社の上層部がPCパスワードを複雑にするように指示した結果、セキュリティレベルが大幅に悪化してしまった話
弊社、上層部が突然セキュリティ意識に目覚めたのか、パソコンのパスワードを大文字小文字記号数字を含む16文字以上にしろとお触れが出たので、当然覚えられずみんなパスワードを付箋に書いてテーブルに貼ってセキュリティレベルが大幅に悪化するという人間工学の実地試験のようになっている
— 古川 (@furukawa1917) December 28, 2023
「弊社、上層部が突然セキュリティ意識に目覚めたのか、パソコンのパスワードを大文字小文字記号数字を含む16文字以上にしろとお触れが出たので、当然覚えられずみんなパスワードを付箋に書いてテーブルに貼ってセキュリティレベルが大幅に悪化するという人間工学の実地試験のようになっている」
パスワード自体は長くして、デバイス側で暗号化して記憶、認証行為はPINや生体認証に二段階認証、その他セキュリティキーを選択して併用が今どきかなと https://t.co/Lb5k7qxZtO
— だぃ💾 (@daihxSE) December 29, 2023
これやるぐらいならとにかく小説の一フレーズ20文字以上をパスワードに設定した方がいい。桁が増える方が困難さレベルが上がるので。 https://t.co/SnzEc4XoCP
— ホルモンの人 (@hormonenohito) December 29, 2023
あるあるやね。上層部の「やってる感」という自己満足のために手段と目的が逆になり、状況が悪化する。
— 猫トマト@求職中の人外コピーライター (@catomato) December 29, 2023
以前からペケートしているけど、この「やってる感」はマジで本邦をぶっ壊す悪癖になっているわね。 https://t.co/LZLlCtnngR
この「上層部が突然セキュリティ意識に目覚めた」原因が、例の「メールアドレスとパスワード***万件『流出』」の官製伝言ゲームだったりしないだろうか。使い回しはやめよう、ならいいですが、それ以外の的外れな「対策」が全国で発生している予感 https://t.co/pM1Qc41Tl5
— S (ツイートはスレッド全体をご確認ください) (@esumii) December 29, 2023
あるある
— 🍚 (@kome000401) December 29, 2023
人によってはPWが書いてる付箋がPCそばに落ちてたりするから、本末転倒なんだよね
で、PWを何とか複雑にしようとしても、結局「AAAAAAaaaaaa-2023」みたいな同じ文字列+分かりやすい数字で設定するから「セキュリティとは?」って思う https://t.co/ivmM2Tv5EM
RT
— イマイ (玉屋本舗) (@tamayaimai) December 29, 2023
電脳世界もの映画「レディプレイヤーワン」のラスボスが
「パスワードを付箋に書いてPCに貼っとくおじさん」だったよね
(わかりやすすぎる伏線)
パスワードを付箋に書いてパソコンに貼る時は「大文字はフェイク」「数字は+2して入力」「最初と最後の文字を除外した上で後ろから」などの改変ルールを1つでも入れておくとかなりセキュリティレベル上がる。勿論、完全じゃないが。
— 辛く無し (@kimokunaiyo) December 29, 2023
うちもやで!!!
— こにょ🐈⬛ (@konoe_0202) December 29, 2023
そして3カ月でPW変えろをいまだにやってるよ!
わしはもう面倒だから、パスワードを付箋に書いて貼ってるよ!!
RP
総務省
「パスワードの定期的な変更は不要」
「パスワードを複数のサービスで使い回さないことが大切」
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_staff_01.html
この記事への反応
・試行回数を制限すれば8文字はおろか4文字でも十分すぎるほどセキュアになるのにアホですね。
それはそれとして、8文字のパスワードを2回繰り返すだけで16文字にできるのに、8文字のときは要らなかった付箋を貼る人も同じくらいアh(
・特定のソフトが個人のパソコンからしか起動しないせいでその人が休んだ時用にみんなパスワード末尾以外揃えてる
そしてデスクマット下の付箋に書いてたり上司がエクセルで保存とかいう情シス真っ青な管理してる
なんのための定期的なパスワード変更だよって話
・この本末転倒っぷりが、オワコン日本企業しぐさという感じで実によい。もはや伝統芸能である
・月一でパスワード更新必要なやつは、01〜12を末尾につけがちになる
厳し過ぎると脆弱になるってこういうこと
・月一更新とかふざけんなレベル。Windows資格情報マネージャは元のパスワード見せてくれないんだよなあ。
・PINと多要素認証にしろ
・以前、グループ会社に行ったときにパソコンの横に「パスワード◯◯」とメモ書きが貼られてあって、「パスワードとは…🤔」となった事を思い出した。
・複雑なパスワードを覚えていろというのは不可能だからねえ……
・掃除に来た奴『なるほど…(頭の中で記憶』
・うちもこれ発生したし、付箋パスワードor簡単に予測できるパスワード大量発生してんだろうなあ……て顔なったよ
・16文字なんて覚えられないので、
結局辞書にある単語と、記号数字で加工することになる。
なので、結局16文字分の強度はなくなってしまう。
・うちの会社にはわざわざラベルプリンターで印刷して机の見やすいところに貼ってるやついるわ。
・もうパスワード覚えるの無理なんで、全部生体認証にしてください!!お願いします!
覚えられないからパスワードマネージャーで一括管理してるわ
入出管理だけやろ
そうではなくて、PINコードを使えという話
定期的な変更は百害あって一利なし
一番効率的なパスワードは無意味な羅列じゃなくて文章だよ。自分は覚えやすくて割れにくい。好きな詩でもつかえ。どっかにいつも使ってる覚え易い数字と記号を混ぜればいい。
末尾の数字をインクリメントしてけ。
一周したら戻して末尾だけ付箋で貼れ w
横にスライドしてく感じ
職場内に脅威が存在するならどうしようもないが
最初にパスワード複雑過ぎたり定期的に変えるようにしたらセキュリティレベル下がると言い出したのアメリカやぞ
数ヶ月更新は意味ないけど大小記号入れて長くする事自体は正しいのでは🤔
当然全部覚えられるものじゃないんでみんな管理ツールをその都度見て入力してる
普通のオフィスに部外者入ってこないから問題全くないよね
(オフィスへのドアは認証コードが必要)
と言う理論でISMS通してみたら通ったよw
一般人でこれだから企業とかはパスちゃんとしないと抜かれて大変なことになるやろ
監視カメラでもつけたほうが早いよwww
ニートさん、どこの外資の話かな?脳内外資企業スッカ(笑)
馬鹿なの?w
キャッシュカードが4桁でも大丈夫なのと同じ
特定の条件下ならパスワードの長さは関係ない
俺の知ってる会社では前の社員が入る時にしれっと一緒に入っていった事例があったぞ。
誰が部外者かわからないような規模の話はしてないっす
オレも今見てみたら、ドイツから怒涛のサインインの失敗出てて草だが
今のMS垢ってパスワード認証じゃなくてメール認証だから
アクセス試すの無理だと思うんだが、ワンちゃんいけるかも?なんかね
「普通のオフィスに部外者は入ってこない」って言ってるのに1フロア100人位の会社は入らんのかよw
月イチ変更必須で24世代重複不可とかいう頭悪いポリシーあるから結局メモっとかないと無理だわ
100人で知らない人とかいる?
1部署で100人仕切りなしでいるの?1フロアで?
定期変更は逆効果って情報セキュリティ方面では結構前から言われてるのにお疲れ様です。
(ワンタイムのデバイス自体の乗っ取り以外で)
破られたことないから
それにしとけよと
セキュリティカード通すドアで2名以上同時入室禁止
これだけで済む話
個別の仕切りはあったよ。複数の部署が同居してる。
都心の会社だったからね。
多分ルール的には禁止されてたけど現実問題
朝とか昼休とかいちいち開けて閉めてなんてやってられないから
みんな気にしてなかったよね。
過去のを全てNGされたら枝番どんどん増えてマジでわからんくなる→設定し直し→更に枝番増えて次回覚えてない→設定し直しの無限ループにハマる仕様はホンマ糞!
某サイトは最低半年に1回のPW更新が必要で旧PWは20世代くらいまで記憶してて弾いてくる
そして必ず全文字種混在必須
結局紙に書いて鍵が掛かる引き出しにしまってる
日本語をパスに使えればレベルアップと同時に付箋も必要なくなる
ガイのポリシーあるわ7桁の数字のみ
今時桁数指定の数字で月更新強要してくるとかネタ無くなるツーの、しかも過去使用使い回しも不可
囮捜査しまくってほしいよ
Amazonで買うときのメアドと普段のメアドは別にしとくべき。有名アカウントとかは特にそう。メアドが違うなら全く問題起きないんだから。
考えてみりゃこれ全部そうなんだよね。なんでメアドでログインするんやろ。メアドと別にIDがあってそっちでログインするならそもそもIDがわからないんだから誰もログインできないだろ。
みんなこんな感じになる
お前みたいな奴が賢ぶろうとして
無能さらけ出しちゃってる真の無能なんだよな
そうそう、無能に合わせないといけないから大変だよな
セキュリティ対策は外部向けで、デスクまで確認できるハッカーもいないからね
派遣やら外注出入りするならやめとけだが
間違っても必ず3回目で当たるようになるし、長くても絶対忘れん
掃除のおばちゃんがログインした事例が
部署間ですら秘匿の情報とか?
つか付箋やめさせたら解決やろ
最近の流れみたいだしな
まぁaaaaa…って同じ文字打たれても困るけど
今どきソレ系は設定する時にダメ出しされるか弾かれるw
最近話題になった金融系の会社だけど社内システムが昭和後期から全く更新されてなくてプライベートの友人にはウチのグループ会社には関わるなと教えてある
内部に悪意のある人間がおったらあかんけど
パスワードを複雑化しろってのがある
そんなのも憶えられない無能社員
まあ大体は隔月で変えるだけやが
PCnoPASSword123456789😎
上層部は正しいこと言ってて無能なのは付箋に書いて貼るとかやってる社員側やん
英単語なんか2文字分しか価値ねぇよ
そんなに覚えらんねえっての
もーごっちゃになってごっちゃになって
で、数回間違えると一時利用停止になるサービスとか最悪
パスワードマネージャーも数年前までラストパスが漏れてたけどね
CAPS押しちゃってて~とか余裕でやるから。
日本語はダメ文字が存在するからバグの元なのでおま環が分からん以上パスワードに出来ない
16桁なんて無いだろ
人間が覚えやすい英数字の羅列の桁数は
過去の金庫の番号の桁数を調べりゃわかる
そのあたりの桁数が妥当なんだよ
16は多すぎる
起動中に侵入するから
起動時にガチガチのセキュリティしててもあまり意味はない上に
パソコンを紛失して盗まれたら
100桁だろうがパスワードとか関係なく突破されるよ
8桁ぐらいで良いんだよ
情報漏洩の半数はウイルスだが、残りの大半はITリテラシーの低い人間のミスだ
8桁✕2で16桁にしとけばいいんだよ
40代でも覚えられるんだからそんくらい記憶出来るだろ
周りは大抵そうやってる
今どきリアル付箋紙とか嘘っぽいなー
普通はパスワードポリシーで禁止されてる
マジで定期的な変更は要らんわ
どうせ一文字変えるだけとかパターン化するだけだから何の意味もない
パスワードリセット後の初期パスワードはそんな感じだな
あー、それアリかも。
付箋紙を誰もが見える場所に貼るのがNGなだけであって、その付箋紙なりメモ用紙を鍵が掛かる机の引き出し内に保管しておけばOKだな!
良いアイデア頂きましたー!w
とは限らないんだよねー
昨今の、社員からの営利目的な情報流出とかいうのがあるでしょ?
パスワードポリシーで過去x回で使用したものは使えないってのもあるから、場合によってはそのパターンは使えないよ
それを三ヶ月おきに変えないといけないんよ。しかもアプリごとにタイミングが違うんで。
バラバラになるし。
だからこそ付箋紙貼付は禁止なんだよ
クラッカーさんは毎回手入力でパスワードを試行入力してログインしようとしてる…って思っているんだろうね
パスワードは同じでIDだけ全部変えてしまえばいいんよ。
コンビニで買ってたパンかお菓子の
バーコード番号をパスワードにしたわ
バーコード部分をハサミで切って
机の引き出しに入れてある
無意味な数字の羅列じゃなくて、ローマ字にすればアホみたいに長くても行けるよ。
どっちかっていうと短く縮めるのが苦手。
まあその前に入力時に*で隠すの止めてからな
とか余計に簡単なパスになりそうw
まあそいつが定期的に変わる10数桁のパス複数個を全て暗記しておける
記憶力の達人ならそうかもしれんが
そうでないならそこまで考えてない無能なだけ
それも50歩100歩レベルかな
多少はマシだけど結局携帯盗み見られたらアウトだし
その程度のセキュリティ意識なら
他にもスマホにやばいデータそのまま残してるよ
これ俺のPSのパスワード
1年後急にメンテで必要になるからしっかり思い出してくれよ!
君の会社が宇宙の基準で宇宙の常識
現在もそうですが、結局パスワードを覚える事が出来ず、何処かに保存している為にこのような事が起きる為です。
国民証チップを基に、あらゆる端末をリンクさせて個人を保証、認証させ、生体認証と現在位置で確定しています。
VRやARなどでもその機器の特徴を活かし、視点監視機能や音漏れ防止等で直接個人への情報伝達セキュリティーに優れています。
まずは国民証が手に無いとどの端末も起動しません。
パスワード自体書き出せねぇわ
ベランダから侵入されて面倒が増えただけだったやつを知ってる。
定期的にパスワードを変更必須になって、わからなくなって業務止まったやつも。
iPhoneのパスワード再入力1ヶ月待ちのやつとか。
便利と危険は、つねに背中合わせですよ?
12345678
よりも、付箋に書いてある複雑なパスワードの方が安全だよ?