「覚えられないのでパスワードは数字4桁で」と言われたらどうする? 127
ストーリー by hylom
ヤフーのおかげで助かった? 部門より
ヤフーのおかげで助かった? 部門より
insiderman 曰く、
ネットショップの立ち上げに向けてシステム開発を依頼されたが、「社長が覚えられないので管理者のパスワードは4桁の数字でお願いします」と言われて困ったという案件が「情報の海の漂流者」で取り上げられている。
当然、数字4桁のパスワードはセキュリティ的には非常に危険であり、そのようなサイトを構築した側にまで責任が及ぶ可能性もある。この件では、ヤフーがYahoo!ショッピングの出店無料化によりそちらを使うようになったため流れ、事なきを得たとのことなのだが、このような面白おそろし要求はほかにもありそうな気がする。このように要求されたら、どうやって対応するべきなのだろうか。
20桁にして付箋紙にかいて (スコア:3)
PCに張り付けとけば大丈夫でしょ
Re:20桁にして付箋紙にかいて (スコア:2)
以前余所様の事務所に伺ったときに、A4大の紙がPCデスクに貼ってありました。
「××システムは○○課長のNo.と、このPWで使用すること」
#見ちゃいけないと心の中で呟きながらそばの机で打ち合わせしてた。
Re:20桁にして付箋紙にかいて (スコア:1)
課長さんが胸につけてた名札(IDカード?)にNo.らしいのが書いてありましたけど、記憶せず(できず)
(私より賢い人が)その気になれば覚えちゃいそう。
とは思った。
Re:20桁にして付箋紙にかいて (スコア:1)
数字4桁は覚えてもらって、ランダムな文字列の方は紙で貼るかな。
# 「パスワードは、お客様の方で設定してください。◯桁以上が推奨です。」としたいな。。
社長を (スコア:2)
管理者から外せばOK!
セキュリティに疎い人を管理者にするのは自殺行為でしょうし。
社長に必要な情報を閲覧できるだけのviewを用意して、それ専用のアカウントを作ってあげればいいんじゃないすかね。
そのアカウントに対するアクセス元も限定して置けばだいぶん安全になりそう。
そういう提案をうまいこと湾曲に表現して相手に飲ませるのが最大の難関かもしれないけど。
Re:社長を (スコア:2)
「ただし、セキュリティレベルが下がってしまうので、
管理者候補全員に4時間の講習を受講していただいたきます」
「その後テストを受けていただき、
合格者のみに管理者権限を発行します」
「社長にも受講して頂けるよう調整をお願いします 」
「※なお、講習及びテストは別見積りになります」
Re:社長を (スコア:1)
講習の中にパスワードは英数字複合で10桁以上とかそんな内容を盛り込んでおくんですね
#英数込みで10桁なら数字4桁よりはだいぶマシだろう
RYZEN始めました
Re:社長を (スコア:1)
契約金額も覚えられるようにしておきました。
金999億円也
Re:社長を (スコア:1)
それは正論なんですが、たいした理由もない(示せない)くせに管理者権限を欲しがるお偉いさんって多いんですよね。
「スーパーユーザー」とか「管理者」って言葉の響きが影響しているのかもしれません。なんかカッコイイって思うんだろな。
# 「スーパーサーバント」とか「下働き」とか呼べばあきらめてくれるのかな?
Re:社長を (スコア:1)
日本では位が上がるほど権限も追加されて、トップは全部の権限を持つのが普通だけど、例えばアメリカとかでは各々で別々になっているそうだね。汚職を防ぐ意味もあるんだとか。
とかいう風に、「アメリカでは」とか「グローバルスタンダードでは」とか言えば聞いてくれる、かも?
Re:社長を (スコア:1)
パーフェクトユーザとかウルトラユーザーという名前の特別なアカウントを作って献上したらいいかも。
権限はもちろん「特殊」なものに設定しておいて
Re:社長を (スコア:1)
社長用の偽ページに飛ばせばいいんじゃね
Re: (スコア:0)
GJ!!!!
技術はそういう方向に使うべきだね
Re:社長を (スコア:1)
> うまいこと湾曲に表現して
ここにツッコミ多数かと思いきや、現時点でひとつも無かったのは意外だ。
Re:社長を (スコア:1)
釣り針が小さすぎたようです
Re: (スコア:0)
もう訂正厨もあきたんだよ
Re: (スコア:0)
>そういう提案をうまいこと湾曲に表現して相手に飲ませるのが最大の難関かもしれないけど。
それが人生のスキルであり、同時に社会の中で「仕事」をこなすためのスキルでもあります。
単純にコードだけ書いていれば、保守管理だけしていれば良いのは学生だけかと。
出来ないのならば「"仕事"が出来ない自分」を恨め。
Re:社長を (スコア:1)
もちろんそういう場合もあるけど、そもそも相手の方に理解しようという気すら無くてお話にならないという場合もある。今時パスワードを数字4桁にすることを要求するなんてのはどっちかというと後者だと思う。だからこそ"最大の難関"なんだよ。
Re:社長を (スコア:1)
そんなに長文書かなくても。
並みの人は「ある程度物わかり悪い人にはそれなりにちゃんと対応するのが当然。でも中にはどうしようもないレベルの物わかりの悪い人が居て困りもの」という前提で語っているのに、そう理解せず
「最初から諦めてるんだろ?諦めたらダメだ!ガンバレ!ガンバレ!もっと熱くなれ!お前の限界はそこじゃない!」とか言われても
我々は最初から諦めてる何もしてない学生でもエクストリームスポーツやってるアスリートでもなくて、
現実的ななところで妥協することで社会に適合している一般人なんだよ、
としか。
Re:社長を (スコア:1)
社二病、ってやつ?
Re: (スコア:0)
自己責任論をブチ上げて自分の発言に酔うのはどうなのよ。あなたの意見は弱者をさらに追い詰めるだけだわ。
Re: (スコア:0)
どうしてもそうしろって言うなら、
危険性を知らせる資料と実例を提示して、それでもやる場合は
セキュリティに関する保証しない特約を付けたうえで契約してもらうかな。
試行回数制限付けた所で、もし試行回数が1回でも確立1/1000で破られちゃうんですよね。
Re:社長を (スコア:1)
>セキュリティに関する保証しない特約
それを盾にしたら退いてくれる人なら、はじめから提案側の話を聞いてくれると思うのですが…
RYZEN始めました
Re: (スコア:0)
四ケタなら 1/10000 では?
Re:社長を (スコア:1)
>実際似た様な案件で、客がどんどんセキュリティ破壊する方向の要求するから、「こう危険ですからね」って説明して議事録にも残した。
昔いた工場の社内での話だけど、似たようなことがあまりに多くて。
打ち合わせのたびに詳細にまとめた議事録を作ってAIと責任者を明確にして置いたけど・・・
まぁ、無駄の極致でしたね。
#厚顔無恥と無責任ってああいうことなんだなと痛感した。
記憶に頼る認証は前世紀の遺物 (スコア:2)
IT業界に浸りきっているとパスワード認証なんて当たり前すぎて、
その存在を疑う気も起こらないものだけど、「人間というデバイス」のスペックを考えてみれば、
脳の「記憶」に頼る方法は、システムとして信頼性が低すぎるのではなかろうか。
Androidの顔認証、iPhoneの指紋認証のように、デバイスに頼るのもイマドキならありじゃないかな?
ドングル、ワンタイムパスワード生成器、あるいはローテクな暗号表、これだけいろいろあるのは、
やっぱり皆、パスワードは覚えたくない・覚えられないのだという証拠じゃないかな。
一番安いデバイスなら数千円で買えるはず。ケチな社長だったとしても、それぐらいは出すでしょう。
Re:記憶に頼る認証は前世紀の遺物 (スコア:1)
>4桁パスワードなら、銀行と同じで、3回でアウトにすれば、セキュリティは守られるんだから、
「可能なら銀行のパスワードだって桁数増やしたい」と思ってる技術者が集まってるからですよ。
時々破られてるじゃないですかアレ。
Re:記憶に頼る認証は前世紀の遺物 (スコア:1)
数字4桁のパスワードって,1万種類あると思いきやほぼ365種類しか無かったりしそうですしね.
Re:記憶に頼る認証は前世紀の遺物 (スコア:1)
ATMでの暗証番号を想定しているんでしょうけど、実際にATMの前まで行って操作しなければいけないものと、リモートで試行できるものが同じ強度で良いとは思えません。
というわけで、3ストライク制では生ぬるいので一発アウトで。
ログイン元を (スコア:2)
ログイン元を制限すればいいんでないんですかね?
社長室だけにするとか。
いつまでもパスワードに頼るな (スコア:1)
会員用の画面であれば難しいが、管理者用の画面だったらパスワードで認証するのでなくて、
SSLクライアント認証するようにして限られた端末からのみアクセスできるようにすればいいんじゃないの?
そうすれば、限られた端末以外からの通信ができないからアタックがそもそもできないでしょ。
Re:いつまでもパスワードに頼るな (スコア:1)
件の社長が言いそうなセリフ、というネタコメントと見るべきなんでしょうか:P
Re: (スコア:0)
ネタですが
ネタでもネタでなくてもどうせできやしない
Re:いつまでもパスワードに頼るな (スコア:1)
pcのログインを指紋認証とかにしておけばいいでしょ
社内システムならパスワードなしでもそれなりの安全性を保てるとおもう
無理を通すかさっさと逃げるか (スコア:1)
「4ケタ数字はこれこれこういった理由で無理です」
と実演してみせて、それで納得しないなら4ケタ数字で実装しちゃって検収前に特例込みで再契約かな。
成立しない可能性もあるけど、その辺は営業手腕というか。成立させるのが営業の仕事というか。
// 旨みが無いなら無理ですって言って逃げるかな。信用ガーっつっても話が通じないお客さんはお客さんじゃない(:>^
数字といっても (スコア:1)
半角に全角、漢数字やローマ数字などいろいろ種類がありますよ
組み合わせればよいのでは?
Re:数字といっても (スコア:1)
16進数で入力してください、とか
#ゼビ数字と言おうとして入力手段を思いつかなくてやめた。エクセルと罫線で…?(脱線
RYZEN始めました
Re:数字といっても (スコア:1)
要求仕様の条件は「数字4桁」のみなので、まだまだいけそうですね!
#手書きにして書き順も条件に…
二択 (スコア:0)
・顧客からの要望である証拠を残して、希望通り実装
・馬鹿でも使える別の認証方法を提案(生体認証とかICカードとか色々ある時代ですし)
倍返しだ (スコア:0)
8桁でどうでしょう!
なに4桁しか覚えられなくても大丈夫。
「1234」というパスワードが希望なら「12341234」というパスワードに……。
#という風にはいかないんだろうなあ
#ちなみに半沢見てません
Re:倍返しだ (スコア:1)
いやあ
4ケタの数字でログオン画面にログインして
さらに4ケタの数字で実作業画面にログオンできるようにすれば
パスワードは注文通り4ケタだし一発で当てる確率は一見10000×10000通りですよお客さん!
なんとか4桁 (スコア:0)
折衷案として
[数字+アルファベット(大+小)+特殊記号]
の4桁でどうでしょ。
「銀行の暗証番号覚えられるならイケますよ」と説得。
桁数が多いのが嫌なんじゃないかな。
もう一声で6文字にしてもらえればほぼセーフだと思うけど。
Re:なんとか4桁 (スコア:1)
おぼえられないのに使える4ケタの数字なんて、きっとあの数字を使うつもりなんだ、うがー
Re:なんとか4桁 (スコア:2)
そして、社長の誕生日は、無くても良いのに張り切って作っちゃった、顔写真付きの社長紹介のページにばっちり書いてあったりするに違いない(酷い偏見)。
# パスワードは社長の愛人の電話番号にしましょう、とか提案したら、必死で守ってくれるかも知れない
客の言うことを聞け (スコア:0)
客が欲しいと言ってるものを作るのが仕事だろ。
客が本当に欲しいものはこうに違いないとか勝手な妄想しないで、
言われた通りのものを作ればいい。
責任がどうのなんてのは、客がそう言ったって証拠を残しときゃ充分だ。
Re:客の言うことを聞け (スコア:2)
そんな言い分が、まかり通っている会社は、結構有りそうだ。
Re: (スコア:0)
これっきりで縁が切れるであろうお客さんなら
それで一向に構わないんだけど、これからも付き合いが続きそうな場合は
なかなかそんな風に単純には割り切れなかったりするもんさ
Re: (スコア:0)
そういう客は得てして証拠を握り潰してこちらに責任転嫁するだけの力があったりするから厄介なんだよね。
Re:やたら複雑なパスワードを強いるのも (スコア:1)
そんな馬鹿なと、だいぶ悩んだけど、(たまたま)数字が一文字も入っていなかったというのが原因だった。
エラーメッセージもなんだし、確かに、数字入ってなかったけど、十分複雑なと思うが。
あと、「必ず英文字数字の両方を混ぜてください」というと、ほぼまちがいなく、英字のブロック+数字のブロック(または、その逆)の組合せのパスワードが多いような気がします。英文字と数字と「混合」ではなくて。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re:べついいです (スコア:1)
職場で共有されているパスワードを設定してはいけません!