セキュリティ担当者「パスワードの月1変更に対応できない社員、危機意識低すぎ！」→炎上

2018年04月15日 08:27 │ 話題 │ コメント(55) │ ツイート

1: 名無しさん＠涙目です。(愛知県) [DE] 2018/04/15(日) 02:08:28.17 ID:shpnhuow0

「セキュリティ感覚の低さは病気としか…」社員批判がネットで炎上

インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。
「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。

話題のきっかけは、女性向けサイト「発言小町」（2018年3月11日付）への投稿。
会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。
そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、
「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。

社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。
「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を正常にできるだろうか」とアドバイスを求めたのだった。

この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の仕事ではないか」と、猛反発する声が大半。

たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。

また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。
そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。

http://news.livedoor.com/article/detail/14579258/

4: 名無しさん＠涙目です。(広島県) [ﾆﾀﾞ] 2018/04/15(日) 02:11:01.77 ID:blgrF3S00

パスワードコロコロ変えると覚えられないから、
忘れてもすぐに手の届くところにメモ用意しちゃって逆にセキュリティ甘くなる

8: 名無しさん＠涙目です。(大阪府) [CN] 2018/04/15(日) 02:15:54.36 ID:Ot5AX8dE0

月一で変更とかセキュリティ担当の責任回避が目的だろ

12: 名無しさん＠涙目です。(四国地方) [US] 2018/04/15(日) 02:20:14.24 ID:lOjzoGKG0

パスワード変更意味がないってTwitterのIT詳しそうな連中が言ってるんだけど、
何らかのミスでパスワードが漏れてたけど定期的なパスワード変更で漏れたパスワード使えなくできるって意味では変更は有効だと思うんですけど。

19: 名無しさん＠涙目です。(関西地方) [US] 2018/04/15(日) 02:24:33.19 ID:k3sI38v30

>>12
それは漏れたら変えたらいいだけで、定期的に変える必要はないよなって話

22: 名無しさん＠涙目です。(茸) [ﾆﾀﾞ] 2018/04/15(日) 02:31:22.42 ID:ApmCrJuv0

>>19
漏れたの気づけたら苦労しないだろｗ

13: 名無しさん＠涙目です。(四国地方) [US] 2018/04/15(日) 02:21:21.83 ID:lOjzoGKG0

パスワード変更は意味がないって主張どういう根拠で言ってるんだ？

18: ボックス ◆6iJaDSI5YU (神奈川県) [BO] 2018/04/15(日) 02:24:32.52 ID:apYI8ahe0

>>13
8桁パスワードで考えた場合

10年間変えず破られる確率と
毎秒変えて破られる確率の差

0.000001% だから

ソースは日経コンピュータ2014年10.16号

14: ボックス ◆6iJaDSI5YU (神奈川県) [BO] 2018/04/15(日) 02:21:25.62 ID:apYI8ahe0

>>1
> パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。

これも、提言してた人が
ほとんど意味なかったわ。桁数が多い方がいいわ。

って言ってなかったっけ

27: 名無しさん＠涙目です。(dion軍) [US] 2018/04/15(日) 02:35:47.97 ID:ENja+vG30

漏れて不正アクセスされた時点でアウトだから無意味だよｗ
ネットバンキングがやられて預金全部どこかに送金された後だったとして、
「よかった今パスワードを変えたから次は無いよ」こんな事を考えるか？ｗ

42: 名無しさん＠涙目です。(東京都) [US] 2018/04/15(日) 02:45:10.15 ID:VCXtXDh+0

× 定期的なパスワード変更は意味が無い
○ 定期的なパスワード変更を強制するとユーザーが破られやすい簡単なパスワードやほかのサービスと共通のパスワードを使いまわすことが多くなり総体としての安全性向上にならない

・パスワードの使い回しは絶対にやめましょう
・類推や総当たりで破られにくくするためになるべく複雑で十分な長さのパスワードを使いましょう　特に長さはちょい手間の割に有効
・当たり前だけど流出した可能性があるパスワードはできるだけ早く変更しましょう

44: 名無しさん＠涙目です。(関西地方) [US] 2018/04/15(日) 02:46:09.19 ID:k3sI38v30

定期的に変えさせるとズボラするやつが出てくるからな
それが一番のセキュリティリスクになるんだよな

60: 名無しさん＠涙目です。(禿) [BR] 2018/04/15(日) 02:53:16.19 ID:6uOBAuLU0

ワンタイムパスワードはわかるけど月一変更は無駄だろ
むしろパスワードの傾向を分析されて他サービスのパスワードを推測されるだけ

67: 名無しさん＠涙目です。(福岡県) [US] 2018/04/15(日) 02:57:04.27 ID:89GSJj3N0

発言小町だろ？女にパスワード覚えられるかよ？そりゃ発狂するわ

90: 名無しさん＠涙目です。(カナダ) [IR] 2018/04/15(日) 03:09:24.30 ID:cyqgyeRT0

パスワード認証の生みの親が
この方法はもうダメぽ
って言ってたからな

複数の長いパスワードは凡人の脳では管理できん

97: 名無しさん＠涙目です。(テレビ神奈川) [ﾆﾀﾞ] 2018/04/15(日) 03:12:30.15 ID:Vd9fPXRt0

英数字の組み合わせ強要はまだ許せる
それにくわえて大文字小文字混在許容は許せん

121: 名無しさん＠涙目です。(福岡県) [US] 2018/04/15(日) 03:32:03.81 ID:mh+FldXk0

パスワードの変更なんてセキュリティ的になんか意味あると思えないんだが

それより怪しいサイトを利用しないとか
変なURL踏まないとか
メモで見えるところにはっておかないとか

そっちの方が大事な気がするわ
変える事で覚えずにメモそこら辺にある方がよっぽどあぶねえよ

124: 名無しさん＠涙目です。(東京都) [US] 2018/04/15(日) 03:35:23.83 ID:VCXtXDh+0

メモが多すぎて
現在のパスワードが
わからない

○1点

126: 名無しさん＠涙目です。(茸) [SV] 2018/04/15(日) 03:40:17.55 ID:zERBKY5p0

PCにテキストファイルでメモするのが1番だよ
それが見られるような事態なら既にもうダメでしょう

127: 名無しさん＠涙目です。(兵庫県) [MY] 2018/04/15(日) 03:41:41.75 ID:bUJUt9J80

パスワードを3回間違えるとログインできない設定にしてるのに頻繁にパスワード変えるって意味あるのか
3回以内にログインされる可能性があるから頻繁に変えるのか
それ変えても3回以内でログインされるなら危険度変わらなくないか

130: 名無しさん＠涙目です。(家) [CN] 2018/04/15(日) 03:43:21.12 ID:ZSRbJJyB0

明らかな釣り堀小町だけど
3回間違えたら初期化って釣る気ねーだろｗ
話がお粗末すぎる

144: 名無しさん＠涙目です。(関西地方) [US] 2018/04/15(日) 03:54:13.43 ID:k3sI38v30

見直される可能性？多分ないね
＋ワンタイムパスが定期変更の進化系だから

163: 名無しさん＠涙目です。(家) [US] 2018/04/15(日) 04:44:54.86 ID:a27cYZJu0

この話が真実だとしたら、頭の固い一般社員が偶々システム部門に配置されて
引き継ぎ受けたとおり、何も考えずに月イチパス更新をさせてるだけなんだろう

167: 名無しさん＠涙目です。(東日本) [US] 2018/04/15(日) 05:14:40.92 ID:ttvSZ59I0

流出させないこと
他人が推測できないこと
機械の総当たりに当たらないこと
漏れた気がしたら変更すること
が重要で何日毎に変えろって全く意味がない

171: 名無しさん＠涙目です。(庭) [US] 2018/04/15(日) 05:29:07.21 ID:JJPkJ4tq0

>>167
パスワードを破られるかどうか？に関しては、定期的な変更に意味はないよな。
でも、破られた後長期に居座られるリスクに関しては、定期的な変更が意味をもつ場合もあるかも

225: 名無しさん＠涙目です。(千葉県) [ﾆﾀﾞ] 2018/04/15(日) 07:49:18.56 ID:5Y2lFZ5M0

パスワード変えさせるよりワンタイム導入しろよと思う

228: 名無しさん＠涙目です。(東京都) [US] 2018/04/15(日) 07:52:12.58 ID:BbPiq++z0

変えることに越したことはないけど
大半の人間はパスワード変更による手間を掛けるのが難しいことを認識しないとあかんわな

229: 名無しさん＠涙目です。(東京都) [IN] 2018/04/15(日) 07:53:13.60 ID:SAJVcDX20

三ヶ月に一度でも、付箋に書いてディスプレイに貼ってるな。

233: 名無しさん＠涙目です。(千葉県) [AU] 2018/04/15(日) 07:56:36.11 ID:oZbILgzZ0

月一で変更して覚えきれなくて失効とか本末転倒だよな。

234: 名無しさん＠涙目です。(家) [ﾆﾀﾞ] 2018/04/15(日) 07:57:52.25 ID:oZFpmErI0

月１変更強いられるなら、いつものパスワードに月の数字追加したら？

236: 名無しさん＠涙目です。(東京都) [FR] 2018/04/15(日) 08:03:04.01 ID:QV4hlvDL0

>>234
セキュリティ担当だけ覚えていればいいなら、これでいいよね

元スレ：http://hayabusa3.2ch.sc/test/read.cgi/news/1523725708/

スポンサード　リンク

おすすめサイトの最新記事

コメント一覧

- 1. 名無しさん
- 2018年04月15日 08:40 　ID:UpS9IbGh0
- どういう状況でのパスワード割れかによるんだろうけど
  毎月替えろってのは情報流出前提の対策だよな

- 2. 名無しさん
- 2018年04月15日 08:45 　ID:vvkUaeii0
- パスワード変更をセキュリティと言っちゃうセキュリティ担当、って結構なパワーワードだと思う
  コインチェックの「オフラインでセキュリティ完璧！」と同じぐらいのパワーを感じる

- 3.
- 2018年04月15日 08:53 　ID:lPy4XZgo0
- ��Υ��ȤϺ��ޤ��

- 4. 名無しさん
- 2018年04月15日 09:00 　ID:FHglL6Jt0
- 一年に一回、半年に一回とかそういう間隔での変更はいいと思うが
  一ヶ月に一回はやりすぎ

- 5. 名無しさん
- 2018年04月15日 09:02 　ID:GoQwxv0m0
- 米3
  
  海外に行ったこともない、外国語も話せない、日本語喋れる外人が友達でいるわけでもない
  
  それなのによく、外国と比べられるね。

- 6. 名無しさん
- 2018年04月15日 09:06 　ID:HR02HtGK0
- 数年前、PC修理のバイトしてたが、有名企業の社内PCとかでも、本体にテプラでパスワード張り付けてるの多かったけどな～今はうるさいだろな

- 7. 名無しさん
- 2018年04月15日 09:08 　ID:ZLm5rdtU0
- ヤフーメールの定期変更はホントクソ、割られたらパスワード変えられて終わりやろ、まぁ長期間監視には聞くだろうけどそもそもなぁ

- 8. 名無しさん
- 2018年04月15日 09:10 　ID:YTIOeMGZ0
- パスワードをじっくりと時間をかけて解読なり盗むなりするのなら、短周期でのパスワード変更は有効度が高い。パスワードが盗難される前に変更される可能性が高いからな
  が、現状はそうじゃないからなw
  仮にパスワードの盗難が瞬時なら、1秒に1回変えようが1年に一回変えようが、盗難される確率は一緒だw
  やたらとパスワードを変更させるデメリットは、ユーザーがネタを思い付かなくなって同じパスワードを繰り返し流用しだすことと、今のパスワードが覚えられなくなって紙に書き出す可能性が高くなることだな
  パスワードが漏れる確率はむしろ高くなる
  それをセキュリティ意識が低いと文句を言う前に、面倒(と盗難の確率)を増やして仕事をしているつもりになっているセキュリティ担当自身の意識の低さ(と脳ミソの無駄使いっぷり)を猛省すべきだなw

- 9. 名無しさん
- 2018年04月15日 09:25 　ID:OkO2vjtu0
- パスワードは使い回しをしなければ十分だと思うが

- 10. 名無しさん
- 2018年04月15日 09:25 　ID:5.qiVWX40
- 専門家「のような」

- 11. 名無しさん
- 2018年04月15日 09:35 　ID:Kdeo5AaJ0
- >>130
  管理者権限でユーザーのパスワードの初期化なんてよく有るんだけど、PCの初期化と思っちゃいないか？
  うちも定期的にパスワード変えろ～って通達有るけど、つい前のパスワード入れたり入力ミスったりでロックかけるのあるあるだわ

- 12. 名無しさん
- 2018年04月15日 09:40 　ID:RVVQRKfX0
- セキュリティ担当者はそんなことばっか考えてるけど、他の社員は本業の事で頭いっぱいだからね

- 13. 名無しさん
- 2018年04月15日 09:40 　ID:vvkUaeii0
- ※9
  フツーは人事の出入りあったら変更するぐらいだよね
  新しいパス発行ついでに古いパスワード使えなくする
  個別にやるとミスでるからセキュリティ上一括でやりたい

- 14. 名無しさん
- 2018年04月15日 09:42 　ID:EMCGXP.v0
- 指紋でも顔認証でも組み合わせて二段階認証にして、パスワードの期間はそのままとか。
  １ヶ月に１度変えなきゃとか言ってるその古っ臭い知識のセキュリティ担当、セキュリティリスクを高めるだけなので更改時期ですわ。

- 15. 名無しさん
- 2018年04月15日 09:48 　ID:a6p42Toe0
- パスワード信仰が強過ぎるのは逆にセキュリティ意識が低い

- 16. 名無しさん
- 2018年04月15日 09:57 　ID:fFOZzUAs0
- >>5
  ラップ調にもなってないダサラップばっか歌ってるとそうなるかもな。

- 17. 名無しさん
- 2018年04月15日 10:09 　ID:pKiOfigZ0
- 社内PCやろ。
  むしろ、パスワードを入力できる段階まで侵入されてんのがもう駄目だろ。
  内部犯ならその程度のリテラシーしかない社員しか雇えないのが悪い。

- 18. 名無しさん
- 2018年04月15日 10:16 　ID:1q1I7v0s0
- パスワード変更は最初に提唱していた研究者が「間違いだった」と言ってしまったからな…

- 19. 名無しさん
- 2018年04月15日 10:17 　ID:XuwtT9Wa0
- ・月一で変更しろ
  ・紙に書くな
  ・他と流用するな
  ・複雑にしろ
  こんなの同時に満たすのなんて現実的に不可能だからな。実施してるやつなんてこの世に一人もいないだろう。こんなのがセキュリティ対策になると思ったやつ頭おかしいだろ

- 20. 名無しさん
- 2018年04月15日 10:23 　ID:YiaLNJS20
- 最終的に「XXXX1」「XXXX2」を毎月いったりきたりするだけになる定期

- 21. 名無しさん
- 2018年04月15日 10:28 　ID:C.6qsVCD0
- パスワード変更は基本だからな。上司のpcメンテ何台か任されてるから毎月変更後のパスワード付箋に書いて一気にはりかえてるわ。覚えられないからメモ残してpcに貼っておかないとね。

- 22. 名無しさん
- 2018年04月15日 10:30 　ID:VtLhqKNV0
- 毎月変えるから最後を月の数字にしてて、一回流出したらpw変えてても破られそうなんだよな

- 23. 名無しさん
- 2018年04月15日 10:32 　ID:Sid4Hle60
- どうせ一桁いじるだけやんけ。

- 24. 名無しさん
- 2018年04月15日 10:33 　ID:yUom8QCc0
- 個々のセキュリティに任せているのが問題。

- 25. 名無しさん
- 2018年04月15日 10:40 　ID:HRmYQd8Y0
- 個人はエロサイト見るのやめればかなり対策できる
  会社ならネット接続を業務系と完全分離する
  複雑で難しいことできなくても、簡単にできることも多い

- 26. 名無しさん
- 2018年04月15日 10:42 　ID:WcunFuGp0
- セキュリティ側がアホ
  頭悪いから結果しか見ない
  相手のレベル関係なしに何故そうするかを考えない
  意識の問題ではなく必要性の問題だし
  定期的な変更はパスワードの単純化を招き
  逆効果だとアメリカの学者が言っとる

- 27. 名無しさん
- 2018年04月15日 10:54 　ID:2aWtuxi20
- 逆ギレしとるやつがオツムを物語っとるで

- 28. 名無しさん
- 2018年04月15日 11:10 　ID:Ln7q4W.t0
- 何回ミスったらロック、なんてものがなかった時代ならともかく
  パスワードも暗号も変更時が一番解読されるリスク高い瞬間なんだから変更頻度は減らしたほうがいい
  セキュリティ担当者がそんなこと知らんとか失格よ

- 29. 名無しさん
- 2018年04月15日 11:14 　ID:2J.TJhiS0
- 発言小町とかいうｸｯｿ釣り堀
  仮にも新聞の公式サイトのコンテンツの一つなのに「女性向け」と明記されてる時点で終わってるわ

- 30. 名無しさん
- 2018年04月15日 11:25 　ID:aAbLks850
- パスワードをコロコ変えなきゃならんセキュリティとかガバガバすぎ。

- 31. 名無しさん
- 2018年04月15日 11:29 　ID:KlLFZTj20
- 批判に対して、トピ主の反論→
  ・みんな物事の本質を理解していない
  ・自分が言いたいのは、決められたルールは守ろうという単純なこと
  ・紙に書きたいなら、「紙に書かせて下さい」と主張すればいい

- 32. 名無しさん
- 2018年04月15日 11:39 　ID:DeWOtEQc0
- セキュリティ意識するなら
  ワンタイムパス導入するか
  毎日変えるのが1番やで

- 33. 名無しさん
- 2018年04月15日 11:55 　ID:VPPIG0SH0
- どの部署かによる
  重要なデータを扱ってる部署だと毎月パスワードは変える
  スマートキーも交換する

- 34. 名無しさん
- 2018年04月15日 12:02 　ID:Epiv3YTa0
- こういうのダメな人だいたいお年寄りだから経営会議の場で実名上げて晒し上げとかしてみるといいよ
  窓際になっても知らんけど

- 35. 名無しさん
- 2018年04月15日 12:09 　ID:86pVkEP50
- ※6
  おそらくそれはパスワードでなく資産番号

- 36. 名無しさん
- 2018年04月15日 12:16 　ID:xfN9f7Rg0
- 外部からの侵入前提で変わらないと言ってる奴多すぎ。
  内部や退社した人間向けの対策も兼ねてるんだよ。
  あと顔認証とか、指紋認証とか言ってる奴もいるが、
  あれも導入費用とか登録とか大変なんだよね・・・。

- 37. 名無しさん
- 2018年04月15日 12:27 　ID:qpWtu4tP0
- 似非セキュリティ担当者が言うのはコレと
  idとパスワードのどちらが間違えてるか推測されないようなエラーメッセージを出すという奴な
  idなんて登録しようとすればシステム自らすでに登録されていますと教えてくれるんだからそんなことしてもただ不親切なメッセージなだけで意味はないよ
  こういう普通に考えればわかる話を馬鹿が広めて使ってるというのはどの世界でもあるから困るね

- 38. 名無しさん
- 2018年04月15日 12:29 　ID:X6lXBUpN0
- これはわかる
  社内で盗み見して成り済ます奴がいるからな
  むしろここまで意識高いと安心する
  成り済まし案件をありえないで済ました担当者もおってな

- 39. 名無しさん
- 2018年04月15日 12:30 　ID:peWP0hm20
- まあそりゃあ小町だからねぇ。
  世の中の普通の人の意見がもらえると思いきや大間違い。
  中にはまともな人もいるとは思うが。

- 40. 名無しさん
- 2018年04月15日 12:33 　ID:X6lXBUpN0
- むしろこれがわからない人はニートやないんか

- 41. 名無しさん
- 2018年04月15日 12:34 　ID:qpWtu4tP0
- ※36
  辞めた人間や使用者不明の端末を繋げるような馬鹿なシステム運用をしてるんですか？
  パスワードを忘れるなんてかわいいレベルじゃない大問題を抱えてますねそのシステムは

- 42. 名無しさん
- 2018年04月15日 12:38 　ID:H6xqeB4j0
- 内部犯や退職者に対する防衛策に言うほどなってるか？
  むしろメモが増えて脆弱になってない？
  退職者が出てから最大一月放置してて大丈夫なの？

- 43. 名無しさん
- 2018年04月15日 12:44 　ID:6QvxSVRA0
- ワンタイムパスワードとか指紋認証じゃダメなのかな？月一で変えろとかめんどうだ

- 44. 名無しさん
- 2018年04月15日 13:07 　ID:J5xc01y.0
- パスワードを小まめに変更する利点がわからないワイ。
  一文字ずつじわじわ解読してく訳じゃないんだし、何より変更しまくったほうがリスク高くない？

- 45. 名無しさん
- 2018年04月15日 13:52 　ID:qpWtu4tP0
- ※44
  変更したほうがリスク高いよ
  変更するよう提案してた人自らが間違いでしたと数年前から言ってる
  こういう運用上わかってきたことを認めない人間が管理してることが一番リスクが高い

- 46. 名無しさん
- 2018年04月15日 14:12 　ID:MeI41jpP0
- 総務省もパスワード変えるの間違いでした、って通達出してたじゃん。
  8桁程度のを頻繁に変えさせようとすると、必ず定型化やパスの流用に陥るから、
  かえってパスワードの強度は低下するし、一部のサービスで破られると
  同じパスワードでアタックかけられる。
  あえて今やるとしたら、端末使ったワンタイムパスか、十数文字のパスフレーズでしょ？

- 47. 名無しさん
- 2018年04月15日 14:14 　ID:lPnwHiKf0
- パスワード使い回しだけはダメだぞ
  俺は重要なもの以外使い回してるけど

- 48. 名無しさん
- 2018年04月15日 14:38 　ID:kKjRLOxE0
- セキュリティを理解していない人間が管理者やってることが何よりもハイリスク
  専任じゃなくて持ち回りとかなんだろね

- 49. 名無しさん
- 2018年04月15日 14:56 　ID:1u4llwdI0
- ワイ、セキュリティ管理者
  監査(笑)で指摘されるので定期変更をルール付ける

- 50. 名無しさん
- 2018年04月15日 16:15 　ID:Fd2qiZ1u0
- 短期のパスワード変更を繰り返すと単調になったり同じのを繰り返し使うようになるので
  結果としてセキュリティレベルが下がる
  それなら最初に複雑なパスワード一度作って使い続けてるほうが比較的安全
  
  という話だよ
  変更のたびに複雑なの考えて忘れずにいられるなら
  当然そっちの方がいい

- 51. 名無しさん
- 2018年04月15日 16:44 　ID:n1eYNiO80
- 問題はパスワードじゃなくて接続環境とか使用機器の個体番号とかを取られて接続経路取られる事の方だと思うけど
  余程の暗証キーとか生体認証とかじゃなきゃ自動で総当たり仕掛けるプログラムとかあるし英数字のみのロックだけだと防御率は知れてるし

- 52. 名無しさん
- 2018年04月15日 17:52 　ID:mch9.m6V0
- パスワードで大事なのは複合した長文にすることで、単語を入れてもいいし生年月日も入れてもいいし文字数制限がなければ数字を同時使用する必要性すらないんだよな
  ただ自分が登録していたどこかのサイトがお漏らしした場合に、複雑なパスワードにしててもそのサイトに登録してある自分のメールとパスワードがバレルからメールと同じログインパスワードを使い回ししていた際に、メールアカウントに不正アクセスされてあらゆるサービス登録時の送り返しのメールについたIDが残ってればまとめて割られるんだよな

- 53. 名無しさん
- 2018年04月15日 22:02 　ID:9bAVb6yL0
- 定期的に変更ってのは、全て手入力で割り出しやってた大昔の名残で
  キーロガーで割るなら定期的にかえようが、その定期的な変更の操作を読み取って割る。
  つまり変更自体が無意味。
  ガチで保護したいならワンタイム採用するぐらい。それでも、色々手段組み合わせれば割れるけどね。

- 54. 名無しさん
- 2018年04月17日 03:31 　ID:dcFe92FI0
- 変更時にはパスに変数を加えてるよ。
  四桁は誕生日使ってるが、1月11日だと0111になるから推測されやすいが1加えるだけで1222になる。
  単純な方法だが他人がアタックするのは誕生日や電話番号や関連の数字だから、これだけで他人からは推測し難くなる。
  また、単純に1加えるだけじゃなく、一つ目は1二つ目は2とか、バリエーション加えるだけで他人からは推測が相当困難になる。
  あと、銀行等のセキュリティ高いサイトに使うパスとネット通販なんかのセキュリティ何それ？見たいなサイトで使うパスは絶対べつにしないとだめ。
  稀に情報流出して詐欺メールや勧誘系の電話貰うから、気をつけた方が良い。