アカウント名:
パスワード:
定期的にパスワードを変更しようがしまいが、複数のサービスで使い回したら駄目ってのが前提にある。
それを遵守するためには何かしらのパスワード管理ツールが必要なんだけど、困ったことに頭の固い日本の企業はその手のツールを許可しない。ついでに言うなら個人に対する啓蒙も不足してる。本来、糾弾されるべきはこの辺の駄目さであって、パスワードを使い回す人じゃないと思うんだよなぁ。
「複数のサービスでパスワードを使い回さず、かつそれぞれに十分の強度のパスワードを設定して記憶しておく」なんて人間業じゃないからね。できる人もいるかもしれないが、少なくとも一般人に求めるものじゃないし。
「パスワードは、それを送った先のサービス運営者が覗きうるものなのだ」という前提を啓蒙してしまった方がいいのかも。故に、その個人情報を使ってそのユーザーが利用している別のサービスを悪意の運営者が不正利用する事は「当然」発生する事態である。だから、パスワードを使い回してはならないのだ、と。
Yahooのパスワード不要ログインはまだ野心的な試みだと思うけど、パスワード定期変更は不要だ、いややっぱり必要だという議論はパスワード認証が本質的に抱えている脆弱さから生まれるもので、ユーザーにより安全なログインを提供するという目的での最終到達点は「パス
LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。ご愁傷様。
典型的な人だな、この問題から何も学ぼうとしない。ただただ己の認知している方式を変えたくないだけで、同様の事態を何度も繰り返すことを何ら気に留めていない。
あなたが学ぶべきことは、言葉で非難しても相手は行動を変えることはないってことだ。単に留飲を下げたいだけならそれでもいいが、本当に状況を変えたいと思っているのなら、他の方法をとるべきだったね。
大切なお客様ならともかく、
これに暖かい声を掛けてやる程優しくはなれないね。ご愁傷様。
こんな話もあったね→トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性(2016年) [gigazine.net]。
今はまだ、パスワード管理ツールの信用は担保されてない時代と言える。それに、少なくともトラブル起こした会社のは使えねーわ。
>「複数のサービスでパスワードを使い回さず、かつそれぞれに十分の強度のパスワードを設定して記憶しておく」なんて人間業じゃないからね。私がやっている方法1.英数字 7,8文字の固定部分を記憶する2.サービスに応じた文字列を固定部分の前後に付加する(付加する文字列だけメモしておく)3.使い回しでない10文字超のパスワードのできあがり固定部分を記号入りランダムにすればそこそこの強度が期待でき,メモを見られても肝心な部分は頭の中.付加の仕方にも工夫の余地があるのでそう悪くはないと考えていますが,いかがでしょう.
冗談ではなく、いくつかのサービスは、「ID」を変えられる。
パスワードの問題と勘違いしている人があまりにも多すぎるが、リスト型攻撃が成立しているのは、メールアドレスを複数用意することが面倒・難しいからであって、ログインIDにメールアドレスを使わせず、個々のサービスで別IDを設定できるようにしておけば、メールアドレスで名寄せされたリストに効果がなくなる。
パスワードを変えるよりも安全。なぜかというと、リストから抜け出せるから。攻撃者はパスワードだけでなく、IDの探索から始めなければならなくなる(が、効率が悪いから、攻撃を受けにくくなる)。
過去、そうやって(少なくとも一旦は)リスト型攻撃から抜け出したISPすらある。#例えばSo-netは、2011年にアカウントIDとメールアドレスを分離。 当時はクラウドやAndroid…Googleアカウントがブレークし始めたばかりで、 リスト型~なんて言葉でなく、 ”他人にユーザーIDやメールアドレスパスワードが 容易に推測されやすい~”と、より汎用的で本質的な捉え方だった)
なお、クロネコメンバーズも、他社ID連携せず、電子マネーを使っていなければ、IDを変えられる。というか、そもそも他社ID連携しないなら、メールアドレスをIDにする必要がない。
私は、さらに、メールアドレスをIDにするサービスにおいて、メールアドレスのエイリアスをIDに使うことで、自前の「Sign in with Apple」みたいなことをやって、サービスごとにパスワードどころかIDを使い回さないようにしている。
パスワードを使うことや、パスワードを使いまわすことが問題の本質じゃない。”IDにメールアドレスを使い回している”ことが問題の本質だ。
まあ、ちょっとセキュリティを齧った方なら誰でも一度は通る思考ですよね。後で読み返して恥ずかしくなるやつ。
7Payではメールアドレスが知られていただけで情報が流出する状況だった。被害を免れる可能性があったのは、IDに使ったメールアドレスを他サービスで使ってなかった人だけ。
メールアドレスをIDとして使い回さないことで被害を免れる実例があるということは、この方策がセキュリティ確保に有効だという証左。
ちょっとセキュリティを齧っただけの実務知らずは、ID連携やメールアドレスID利用の「デメリット」を全く理解していない。リスト型攻撃は、メールアドレスをIDに使いまわすようになってから顕著になった、という歴史がある。デメリ
ちょっとセキュリティを齧っただけの理論知らずは、IDは秘匿情報ではないという前提を知れないのだな。こうして我流で作られるかんたんログインが理論屋の一突きで崩壊し、発案者は渦中で混乱するばかりで責任は取らないというわけだ。
「IDを知られたら情報漏洩の確率に影響する」事実は、「IDは秘匿情報ではない」こととなんら反しない。
あなたは情報理論どころか条件付き確率すらも判ってなかったんだね。
それを勘案する態度がいかんのよ。
私も、まさにこの考えを持っていて、パスワードは覚えていられないのでIDを変えています。メールアドレスをアカウントに要求してくるところは、そのたびににgmailを用意しています。アカウントを忘れないのかというと、サイトに紐づけした文字ルールを用意して、さらに自分の中で強固と思える文字数字と組み合わせるので忘れることもなし。ただ、通販サイト系はパスワードも別にして、他サイトのパスワードとかぶらないようにはしています。意外にもパスワードは辞書攻撃くらいそうな単語+数字です。
たびたび、漏洩ニュースになったサイトに登録していたけど、今のところ30年無事故だから大丈夫なのかな。メアド変えてる結果、登録するとすぐ詐欺メールが飛んでくるところとかは縁切りしやすいので重宝しています。
>他社サービスから流出したIDやパスワードを使ってアクセスを試みるリスト型攻撃このケースでヤマト側で他に取れる対策あんの?
同じIPアドレスから一定数のアカウントにログイン試みたら不正としてブロックするとかぐらい
だから前回と違う環境からログインしようとすると生年月日の入力を求めるサービスが増えてるんですよ
ヤマトが悪いのか?と言われるとユーザーが悪いとしか言いようがないけど、報道によるイメージダウンとかあるしね
で、パスワードと生年月日がセットで漏洩したサービスから、それも突破するリスト型攻撃もやられるわけですね。
やっぱり秘密の質問で曽祖父が卒業した尋常小学校の名前を入れさせないと。
政府が配布しているハンドブック [nisc.go.jp]にあるように、秘密の質問にはまじめに答えるな(p.32)、というのが常識。貴方も古いというかリテラシーが低い。
#パスワードの定期変更は必要ないが、流出時にはすぐ変更しろ(p.56)、とも明記されていて、 親コメの方もリテラシーが低い。
ネタにマジレスカッコわるい
常識レベルが一致していない相手の場合、ネタがネタとして通じないな。もしかすると#3659180は高度なボケなのかもしれないしな。
どうせユーザーに何かをやらせるなら「パスワードを使い回すな」でいいじゃん
「パスワードはパスワード管理ツールで超強力なのをランダム生成して自動入力しましょう」がここ数年の常識軟弱者は記憶力が~漏洩が~不正アクセスを防ぐ気概が~とか言ってるのは素人の老害
素人や老人に浸透しない仕組みなんて社会的な価値はないよ
某有名有料パスワード管理ツール自体が抜かれてしまった例もありますので、難しいですね…。パスワード以外の何かの検討が必要なのかな…。
最近の定説だとしても1年に1回ぐらいは変えたほうがいい、何百個もサービス使ってると変えるの疲れるが
最近はポイントカード廃止してスマホアプリ登録させるところが多くなってきましたね。管理がめんどくさいのでポイント捨てて登録しないことにしてます。
まさに今回のような、既知の流出済みのリストでの侵入を防げるからでしょ。
使いまわしてなかったら問題ないでしょ。漏れた時点でそのアカウントだけは漏れるのはどうしようもないし。漏れた後にそのアカウントのパスワードだけ変えればいいっしょ。
漏れた後に変える、っていう手遅れにならないために、定期的に変えろと言ってるのに。。。
漏れた時点で手遅れなんだが
2015年に漏れてた話を2019年になってから言い始めるSlackのようなサービスもあるから、自衛として定期的な変更は有効、って話だろ。
サービス提供側はリテラシー高いはず、と思考停止するのが、ユーザー側として、最も危険な行為。
もう1歩考えよう金銭を直接抜かれる危険性:利用者に気づかれずにちょびちょび抜くなんてことはしないので流出時点でほぼアウト利用者の個人情報を覗かれる危険性:覗いた時点で情報は抜き取り終わってるので流出時点でほぼアウト利用者の情報が時間と共に増えるサービスの場合:これは利用者に気付かれないまま監視されてしまうのでパスワード変更で断ち切れるアカウント乗っ取り:上のパターンに近いけど利用者に気付かれないようにというハードルが高い
あんま定期変更に意味があるサービスが多いとは思えないなぁ
おめー1年3か月もパスワード変えてねーぞ、いい加減にしろよ、、くらいなこと言わないとこの手のパスワード変えないから仕方ないね自分は使いまわしてないから変えないほうがいいとわかってやってるのとは全然違う
おめー1年3か月もパスワード変えてねーぞ、いい加減にしろよ、、
んで過去5回分は流用不可とかしても********a********b********c********d********e********で更新して元のパスワード使うやつが出る
までがテンプレ
リスト型攻撃なら十分効果があるから、反論になっていないと思うんだけど。
前に誰かが書いてた日付をパスワードの頭につけるのだって、1年か10年か100年後に同じパスワードが出てきて攻撃されるわけだ
とはいえ、パスワード変更しないとサービス使えなくなるとかそういったレベルで押し付けてるわけでもないのでまあ標準的な日本企業像では。
今回の件はユーザー側に自衛してもらうしかないはずだけど「ユーザーに押し付けてる」って何のこと?自社サービスから漏れてログインされた上でのこのアナウンスだったらその指摘も納得いくけど。
クロネコメンバーズには2段階認証があるからそれは書いた方がいいんではないかとは思うけど、他社サービスの事も含めると列記された3つを守ってもらいつつ定期的なパスワードの変更(見直し)を推奨するのが妥当だと思うなぁ。定期的っていったって半年でも1年でも5年でも好きなようにすればいいわけだし。
それと「定期的なパスワード変更の推奨=間違ってる」みたいになってるけど、どちらかというとサービス側に対して「パスワードの定期変更を強制しないようにしましょう」という意味合いの方が強い話で、自衛のためにやることが否定されているわけではないよ。
>クロネコメンバーズには2段階認証があるひろみちゅセンセのタイムラインでとっくに話題になってるんだが…誰も読んでないのか。https://twitter.com/HiromitsuTakagi/status/1154765616651259904 [twitter.com]
まとめが出た。https://togetter.com/li/1381019 [togetter.com]
いや、この件に関しては定期的なパスワード変更をしていれば被害の大部分は防げたでしょ。定期的なパスワード変更のデメリットに注目するのが流行りではあるけれども、正しく運用されれば効果がないわけではない。
今日突然、会社の管理部から通達が出てた。「セキュリティ維持の為に、パスワードの変更はしないでください」それまでは、「90日ごとにパスワードを変更、前回と同じものは禁止」だったのに。何があったんだろう?
昨今では、米国国立標準技術研究所(NIST)などからも定期的なパスワード変更はむしろセキュリティに弱いと指摘されており、総務省もそれを肯定している
総務省、「パスワードの定期的な変更は不要」と方針変更https://security.srad.jp/story/18/03/27/0431206/ [security.srad.jp]
あれは万が一の時に「パスワード変更してなかったのですか?ではウチに責任はないね。」って言うための存在だから
先日、パスワードを忘れてて端末を操作してたらパスワードがそのまま表示されていたので平文で管理してるんだなあと思ったのでやっぱりダメダメな感じ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
定期的なパスワードの変更 (スコア:3)
それをユーザーに押し付けているあたり、結局ダメダメな感じ。
Re:定期的なパスワードの変更 (スコア:1)
定期的にパスワードを変更しようがしまいが、複数のサービスで使い回したら駄目ってのが前提にある。
それを遵守するためには何かしらのパスワード管理ツールが必要なんだけど、困ったことに頭の固い日本の企業はその手のツールを許可しない。ついでに言うなら個人に対する啓蒙も不足してる。
本来、糾弾されるべきはこの辺の駄目さであって、パスワードを使い回す人じゃないと思うんだよなぁ。
「複数のサービスでパスワードを使い回さず、かつそれぞれに十分の強度のパスワードを設定して記憶しておく」なんて人間業じゃないからね。できる人もいるかもしれないが、少なくとも一般人に求めるものじゃないし。
Re: (スコア:0)
「パスワードは、それを送った先のサービス運営者が覗きうるものなのだ」という前提を啓蒙してしまった方がいいのかも。
故に、その個人情報を使ってそのユーザーが利用している別のサービスを悪意の運営者が不正利用する事は「当然」発生する事態である。
だから、パスワードを使い回してはならないのだ、と。
Yahooのパスワード不要ログインはまだ野心的な試みだと思うけど、
パスワード定期変更は不要だ、いややっぱり必要だという議論はパスワード認証が本質的に抱えている脆弱さから生まれるもので、
ユーザーにより安全なログインを提供するという目的での最終到達点は
「パス
Re: (スコア:0)
LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。
ご愁傷様。
Re: (スコア:0)
典型的な人だな、この問題から何も学ぼうとしない。
ただただ己の認知している方式を変えたくないだけで、同様の事態を何度も繰り返すことを何ら気に留めていない。
Re: (スコア:0)
あなたが学ぶべきことは、言葉で非難しても相手は行動を変えることはないってことだ。単に留飲を下げたいだけならそれでもいいが、本当に状況を変えたいと思っているのなら、他の方法をとるべきだったね。
Re: (スコア:0)
大切なお客様ならともかく、
LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。
ご愁傷様。
これに暖かい声を掛けてやる程優しくはなれないね。
ご愁傷様。
Re: (スコア:0)
こんな話もあったね→トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性(2016年) [gigazine.net]。
今はまだ、パスワード管理ツールの信用は担保されてない時代と言える。
それに、少なくともトラブル起こした会社のは使えねーわ。
人力ソルト付加法(Re:定期的なパスワードの変更) (スコア:0)
>「複数のサービスでパスワードを使い回さず、かつそれぞれに十分の強度のパスワードを設定して記憶しておく」なんて人間業じゃないからね。
私がやっている方法
1.英数字 7,8文字の固定部分を記憶する
2.サービスに応じた文字列を固定部分の前後に付加する(付加する文字列だけメモしておく)
3.使い回しでない10文字超のパスワードのできあがり
固定部分を記号入りランダムにすればそこそこの強度が期待でき,メモを見られても肝心な部分は頭の中.
付加の仕方にも工夫の余地があるのでそう悪くはないと考えていますが,いかがでしょう.
パスワードがダメならIDを変えればいいじゃない by マリー・アントワネット(偽) (スコア:1)
冗談ではなく、いくつかのサービスは、「ID」を変えられる。
パスワードの問題と勘違いしている人があまりにも多すぎるが、
リスト型攻撃が成立しているのは、メールアドレスを複数用意することが面倒・難しいからであって、
ログインIDにメールアドレスを使わせず、個々のサービスで別IDを設定できるようにしておけば、
メールアドレスで名寄せされたリストに効果がなくなる。
パスワードを変えるよりも安全。なぜかというと、リストから抜け出せるから。
攻撃者はパスワードだけでなく、IDの探索から始めなければならなくなる(が、
効率が悪いから、攻撃を受けにくくなる)。
過去、そうやって(少なくとも一旦は)リスト型攻撃から抜け出したISPすらある。
#例えばSo-netは、2011年にアカウントIDとメールアドレスを分離。
当時はクラウドやAndroid…Googleアカウントがブレークし始めたばかりで、
リスト型~なんて言葉でなく、 ”他人にユーザーIDやメールアドレスパスワードが
容易に推測されやすい~”と、より汎用的で本質的な捉え方だった)
なお、クロネコメンバーズも、他社ID連携せず、電子マネーを使っていなければ、IDを変えられる。
というか、そもそも他社ID連携しないなら、メールアドレスをIDにする必要がない。
私は、さらに、メールアドレスをIDにするサービスにおいて、
メールアドレスのエイリアスをIDに使うことで、自前の「Sign in with Apple」みたいなことをやって、
サービスごとにパスワードどころかIDを使い回さないようにしている。
パスワードを使うことや、パスワードを使いまわすことが問題の本質じゃない。
”IDにメールアドレスを使い回している”ことが問題の本質だ。
Re: (スコア:0)
まあ、ちょっとセキュリティを齧った方なら誰でも一度は通る思考ですよね。後で読み返して恥ずかしくなるやつ。
Re: (スコア:0)
7Payではメールアドレスが知られていただけで情報が流出する状況だった。
被害を免れる可能性があったのは、IDに使ったメールアドレスを他サービスで使ってなかった人だけ。
メールアドレスをIDとして使い回さないことで被害を免れる実例があるということは、
この方策がセキュリティ確保に有効だという証左。
ちょっとセキュリティを齧っただけの実務知らずは、ID連携やメールアドレスID利用の「デメリット」を全く理解していない。
リスト型攻撃は、メールアドレスをIDに使いまわすようになってから顕著になった、という歴史がある。
デメリ
Re: (スコア:0)
ちょっとセキュリティを齧っただけの理論知らずは、IDは秘匿情報ではないという前提を知れないのだな。
こうして我流で作られるかんたんログインが理論屋の一突きで崩壊し、発案者は渦中で混乱するばかりで責任は取らないというわけだ。
Re: (スコア:0)
「IDを知られたら情報漏洩の確率に影響する」事実は、「IDは秘匿情報ではない」こととなんら反しない。
あなたは情報理論どころか条件付き確率すらも判ってなかったんだね。
Re: (スコア:0)
それを勘案する態度がいかんのよ。
Re: (スコア:0)
私も、まさにこの考えを持っていて、パスワードは覚えていられないのでIDを変えています。
メールアドレスをアカウントに要求してくるところは、そのたびににgmailを用意しています。
アカウントを忘れないのかというと、サイトに紐づけした文字ルールを用意して、さらに自分の中で強固と思える文字数字と組み合わせるので忘れることもなし。
ただ、通販サイト系はパスワードも別にして、他サイトのパスワードとかぶらないようにはしています。
意外にもパスワードは辞書攻撃くらいそうな単語+数字です。
たびたび、漏洩ニュースになったサイトに登録していたけど、今のところ30年無事故だから大丈夫なのかな。
メアド変えてる結果、登録するとすぐ詐欺メールが飛んでくるところとかは縁切りしやすいので重宝しています。
Re: (スコア:0)
>他社サービスから流出したIDやパスワードを使ってアクセスを試みるリスト型攻撃
このケースでヤマト側で他に取れる対策あんの?
Re: (スコア:0)
同じIPアドレスから一定数のアカウントにログイン試みたら不正としてブロックするとかぐらい
Re: (スコア:0)
だから前回と違う環境からログインしようとすると生年月日の入力を求めるサービスが増えてるんですよ
ヤマトが悪いのか?と言われるとユーザーが悪いとしか言いようがないけど、報道によるイメージダウンとかあるしね
Re: (スコア:0)
で、パスワードと生年月日がセットで漏洩したサービスから、それも突破するリスト型攻撃もやられるわけですね。
やっぱり秘密の質問で曽祖父が卒業した尋常小学校の名前を入れさせないと。
Re:定期的なパスワードの変更 (スコア:1)
政府が配布しているハンドブック [nisc.go.jp]にあるように、
秘密の質問にはまじめに答えるな(p.32)、というのが常識。
貴方も古いというかリテラシーが低い。
#パスワードの定期変更は必要ないが、流出時にはすぐ変更しろ(p.56)、とも明記されていて、
親コメの方もリテラシーが低い。
Re: (スコア:0)
ネタにマジレス
カッコわるい
Re: (スコア:0)
常識レベルが一致していない相手の場合、ネタがネタとして通じないな。
もしかすると#3659180は高度なボケなのかもしれないしな。
Re: (スコア:0)
どうせユーザーに何かをやらせるなら「パスワードを使い回すな」でいいじゃん
Re: (スコア:0)
「パスワードはパスワード管理ツールで超強力なのをランダム生成して自動入力しましょう」がここ数年の常識
軟弱者は記憶力が~漏洩が~不正アクセスを防ぐ気概が~とか言ってるのは素人の老害
Re: (スコア:0)
素人や老人に浸透しない仕組みなんて社会的な価値はないよ
Re: (スコア:0)
某有名有料パスワード管理ツール自体が抜かれてしまった例もありますので、難しいですね…。
パスワード以外の何かの検討が必要なのかな…。
Re: (スコア:0)
最近の定説だとしても1年に1回ぐらいは変えたほうがいい、何百個もサービス使ってると変えるの疲れるが
Re: (スコア:0)
最近はポイントカード廃止してスマホアプリ登録させるところが多くなってきましたね。
管理がめんどくさいのでポイント捨てて登録しないことにしてます。
Re: (スコア:0)
そのように考える理由を知りたいです。マジに。
Re: (スコア:0)
まさに今回のような、既知の流出済みのリストでの侵入を防げるからでしょ。
Re: (スコア:0)
使いまわしてなかったら問題ないでしょ。
漏れた時点でそのアカウントだけは漏れるのはどうしようもないし。
漏れた後にそのアカウントのパスワードだけ変えればいいっしょ。
Re: (スコア:0)
漏れた後に変える、っていう手遅れにならないために、定期的に変えろと言ってるのに。。。
Re: (スコア:0)
漏れた時点で手遅れなんだが
Re: (スコア:0)
2015年に漏れてた話を2019年になってから言い始めるSlackのようなサービスもあるから、
自衛として定期的な変更は有効、って話だろ。
サービス提供側はリテラシー高いはず、と思考停止するのが、
ユーザー側として、最も危険な行為。
Re: (スコア:0)
まぁ、それを、流出してしまった時点でダメだろ、と考えるか、悪事を実行するまで時間があるかもしれない(その間にパスワード変更すれば大丈夫)と考えるのか、だね。
Re: (スコア:0)
もう1歩考えよう
金銭を直接抜かれる危険性:利用者に気づかれずにちょびちょび抜くなんてことはしないので流出時点でほぼアウト
利用者の個人情報を覗かれる危険性:覗いた時点で情報は抜き取り終わってるので流出時点でほぼアウト
利用者の情報が時間と共に増えるサービスの場合:これは利用者に気付かれないまま監視されてしまうのでパスワード変更で断ち切れる
アカウント乗っ取り:上のパターンに近いけど利用者に気付かれないようにというハードルが高い
あんま定期変更に意味があるサービスが多いとは思えないなぁ
Re: (スコア:0)
おめー1年3か月もパスワード変えてねーぞ、いい加減にしろよ、、くらいなこと言わないとこの手のパスワード変えないから仕方ないね
自分は使いまわしてないから変えないほうがいいとわかってやってるのとは全然違う
Re: (スコア:0)
おめー1年3か月もパスワード変えてねーぞ、いい加減にしろよ、、
んで過去5回分は流用不可とかしても
********a
********b
********c
********d
********e
********
で更新して元のパスワード使うやつが出る
までがテンプレ
Re: (スコア:0)
リスト型攻撃なら十分効果があるから、反論になっていないと思うんだけど。
Re: (スコア:0)
前に誰かが書いてた日付をパスワードの頭につけるのだって、1年か10年か100年後に同じパスワードが出てきて攻撃されるわけだ
Re: (スコア:0)
とはいえ、パスワード変更しないとサービス使えなくなるとか
そういったレベルで押し付けてるわけでもないので
まあ標準的な日本企業像では。
Re: (スコア:0)
今回の件はユーザー側に自衛してもらうしかないはずだけど「ユーザーに押し付けてる」って何のこと?
自社サービスから漏れてログインされた上でのこのアナウンスだったらその指摘も納得いくけど。
クロネコメンバーズには2段階認証があるからそれは書いた方がいいんではないかとは思うけど、他社サービスの事も含めると列記された3つを守ってもらいつつ定期的なパスワードの変更(見直し)を推奨するのが妥当だと思うなぁ。
定期的っていったって半年でも1年でも5年でも好きなようにすればいいわけだし。
それと「定期的なパスワード変更の推奨=間違ってる」みたいになってるけど、どちらかというとサービス側に対して「パスワードの定期変更を強制しないようにしましょう」という意味合いの方が強い話で、自衛のためにやることが否定されているわけではないよ。
Re: (スコア:0)
>クロネコメンバーズには2段階認証がある
ひろみちゅセンセのタイムラインでとっくに話題になってるんだが…誰も読んでないのか。
https://twitter.com/HiromitsuTakagi/status/1154765616651259904 [twitter.com]
Re: (スコア:0)
まとめが出た。
https://togetter.com/li/1381019 [togetter.com]
Re: (スコア:0)
いや、この件に関しては定期的なパスワード変更をしていれば被害の大部分は防げたでしょ。
定期的なパスワード変更のデメリットに注目するのが流行りではあるけれども、正しく運用されれば効果がないわけではない。
Re: (スコア:0)
今日突然、会社の管理部から通達が出てた。
「セキュリティ維持の為に、パスワードの変更はしないでください」
それまでは、「90日ごとにパスワードを変更、前回と同じものは禁止」だったのに。
何があったんだろう?
Re: (スコア:0)
昨今では、米国国立標準技術研究所(NIST)などからも定期的なパスワード変更はむしろセキュリティに弱いと指摘されており、総務省もそれを肯定している
総務省、「パスワードの定期的な変更は不要」と方針変更
https://security.srad.jp/story/18/03/27/0431206/ [security.srad.jp]
Re: (スコア:0)
あれは万が一の時に「パスワード変更してなかったのですか?ではウチに責任はないね。」って言うための存在だから
Re: (スコア:0)
先日、パスワードを忘れてて端末を操作してたらパスワードがそのまま表示されていたので平文で管理してるんだなあと思ったのでやっぱりダメダメな感じ。