アカウント名:
パスワード:
ProjectWEBってIDとパスワードだけで入れると記憶してるんだけどあーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。せめていつもと違う端末からのアクセスがあればメールで一報入れるような仕組みでもあればよかったのに。これ使ってた自分を含めた協力会社の人たちは「危なっかしいよねー」とか言うてたけどプロパーさんたちは聞く耳持たずだし「だったらお前改良しろよ。ただし無料でな」的な返答はあった気がするー・・・もう10年くらい前の話しだから忘れちゃったけどさ。
だからパスワードの定期変更をですね
複数サイトで使いまわししていなければ他所で流出しても問題ないんだよだからパスワードの定期変更は必要ないとされている
いや、それは知ってるけど、そういう話じゃなくてね
自分では賢いつもりなんだよ。指摘すると機嫌悪くするからそっとしといたげて。
3年前ぐらいの話だけど、パスワードは90日に一度変更が強制される、末尾の記号だけ変更してローテしてたから意味ない。
いまだにそうですよ、某大手h○%×$☆♭#▲※
パスワード使いまわしの問題も、パスワード変更強制の問題も、そもそもユーザーにパスワードを決めさせるということ自体が諸悪の根源なんだよな。パスワードはランダムに自動発行しかできないようにするのが得策。
そしてパスワードはパソコンに自動的に管理させるのが得策
それやったら付箋にパスワード書いて貼られるんだけどな。あと管理者がパスワードを知ってしまう問題も大きい。
最悪中の最悪の悪手なので10年以上前に初期パスワードは任意のものに変更できるのが当然になった。
管理者はユーザーのパスワードなど知らなくても、直接データベースやサーバーのファイルを見れるでしょうに。
初期設定後にもう一度ランダムに自動発行して画面内で通知などすればいいでしょ。
直接覗いたら犯人バレバレでしょ。なりすませるってのは重要よ。
管理者が自分の管理する情報を覗いたところで不自然じゃないしログも消せるでしょ何がバレるのか
セキュリティ対策の常識として「管理者の不正」が最重要とされて10年以上経過してると思うが、こんな時代遅れな奴がまだいるとは・・・今どき管理者が与えられた権限のまま覗き回ったら良くてクビ、悪けりゃ警察に通報される。
あと監査製品で特定のログ消すって不可能だぞ。ログを全部吹っ飛ばすことなら可能だがその時点で管理者=犯人になる。
「管理者の不正」が最重要とされて10年以上経過してるなどという事実は存在しません。勝手な思い込みで歴史を捏造しないように。事実であるというのなら証拠を示してください。
> あと管理者がパスワードを知ってしまう問題も大きい。
ランダムに発行されたパスワードを管理者が把握してて何か問題あるか?
管理者がユーザになりすまして不正を働ける時点で大問題。何のために一方向性ハッシュで暗号化してると思ってるんだ?
一方向性ハッシュで暗号化してるのは漏洩した生パスワードを第三者(=利用者と管理者以外の人間)が悪用しないためです。管理者がユーザになりすました不正対策ではありません。
利用者が決めたパスワードを他でも使い回していれば、それを管理者が知得できることは問題になり得ますが、それは原則として利用者の自己責任です。当然、ランダムに発行されたパスワードであれば、そのような問題は発生しません。
IPA ISEC セキュア・プログラミング講座 [ipa.go.jp]
たとえば,会員サービスのアプリケーションソフトウェアが画面1のように会員情報テーブル内にパスワードをクリアテキスト(そのまま読めるデータ)で保存していたとする。データベースの保守作業で使われたダンプリストが不用意に捨てられたり,バックアップテープが間違って持ち出されるなど,なんらかの事故や盗難などで漏洩した場合,テーブルに書かれているユーザID,パスワードをそのままの形で不正行為者が利用することができ,大変危険である(図1)。
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構 [ipa.go.jp](改訂第7版)
業務用PCの従業員パスワードを管理者が知ってたら大問題?その従業員が休職・退職したらどうするつもりなんだよwww
そもそも、パスワードが1つしか無いってのがダメなんだよねシステムが自動発行したパスワードと、ユーザーが決めたパスワードの2つを使えばいい
ユーザの負担が大きいって時点で時代遅れ。そういう「なんちゃってセキュリティ対策」は紙にパスワード書かれるくらいならマシな方で、ログイン画面を模したフィッシングサイトにも平気でパスワード入力されるとか逆効果にしかならない。
証明書(ICカード)とPIN、必要に応じてトランザクション認証が今のトレンド。
末尾の記号のローテが推測不能なら一定の意味はあるよね
おもおかをあげたい。
あんまりガチガチにしちゃうと、今は亡き宅ふぁいる便みたいな社外サービス使おうとする奴出ちゃうしね。
さもありなん。ま〜た富士通か。
あなたが10年前に無料で改良して富士通にフィードバックしていたら今回のこのような事態は起きなかったのに。と、今頃、この書き込みを見た富士通の人に逆恨みされているよ。ACで書いたのは賢明だね。
なるほど。最近の富士通のやらかしが多いのは、このACが富士通関連会社を追放されたからなんですね。今更戻ってこいと言われてももう遅い!
むしろ本名で書かれたら、富士通の人が困るでしょ。あの時に指摘されてたのに〜って。
あ、ACで書かれてもやっぱり困るからって事ですか?だから書かないでくれと?
> あーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。
それはProjectWEBに限らず世の中のほとんどのシステムでそうなのでは?10年前って多要素認証どころかログイン通知すら一般的でなかった時代そら「だったらお前改良しろよ」って言われますわ
> 10年前って多要素認証どころかログイン通知すら一般的でなかった時代
10年前ならパスワードの強度検査はふつうにありましたね。2007年の記事:https://thinkit.co.jp/cert/article/0707/18/3/2.htm [thinkit.co.jp]
パスワードの強度検査してもIDとパスワードが漏れたら意味ないじゃん。
ログイン情報が漏れることが想定外なシステムが問題なの。漏れたときにそれとわかるようになってないのが一番まずいの。
わっかんねーだろうなあ。
だからアクセス元のIP絞っとけよって言われてたジャン。もともとイントラ間でファイルをやりとりすることを想定してるから相手企業のGWアドレスだけ許可しとけばなんとかなるでしょっていうシステムで、実際なんとかなってたんだよ。それが新コロ対策急造テレワークでガバッと許可アドレスを広げちゃったんでしょ。だから今頃になって大騒ぎなんだと思うよ。
数年前にちょっと使った外部の人間だけど、制限掛けるからとGW情報を届け出た。中の人たちはVPN(?)経由じゃないと入れないと言ってたけど、そとの私たちはホテルのWiFiからでも入れました。中の人ほど乖離に気づいてないのかも。
もう18年くらい経ってるような気がするんだよなぁ…初期はマジ酷かった。
>ただし無料でなそこはまっかく変わらね〜のなw
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
もう10年前の話しだけど (スコア:5, 興味深い)
ProjectWEBってIDとパスワードだけで入れると記憶してるんだけど
あーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。
せめていつもと違う端末からのアクセスがあればメールで一報入れるような仕組みでもあればよかったのに。
これ使ってた自分を含めた協力会社の人たちは「危なっかしいよねー」とか言うてたけどプロパーさんたちは聞く耳持たずだし
「だったらお前改良しろよ。ただし無料でな」的な返答はあった気がするー・・・
もう10年くらい前の話しだから忘れちゃったけどさ。
Re:もう10年前の話しだけど (スコア:1)
だからパスワードの定期変更をですね
Re: (スコア:0)
複数サイトで使いまわししていなければ他所で流出しても問題ないんだよ
だからパスワードの定期変更は必要ないとされている
Re: (スコア:0)
いや、それは知ってるけど、そういう話じゃなくてね
Re:もう10年前の話しだけど (スコア:1)
自分では賢いつもりなんだよ。指摘すると機嫌悪くするからそっとしといたげて。
Re: (スコア:0)
3年前ぐらいの話だけど、パスワードは90日に一度変更が強制される、末尾の記号だけ変更してローテしてたから意味ない。
Re: (スコア:0)
いまだにそうですよ、某大手h○%×$☆♭#▲※
Re: (スコア:0)
パスワード使いまわしの問題も、パスワード変更強制の問題も、そもそもユーザーにパスワードを決めさせるということ自体が諸悪の根源なんだよな。
パスワードはランダムに自動発行しかできないようにするのが得策。
Re: (スコア:0)
そしてパスワードはパソコンに自動的に管理させるのが得策
Re: (スコア:0)
それやったら付箋にパスワード書いて貼られるんだけどな。あと管理者がパスワードを知ってしまう問題も大きい。
最悪中の最悪の悪手なので10年以上前に初期パスワードは任意のものに変更できるのが当然になった。
Re: (スコア:0)
管理者はユーザーのパスワードなど知らなくても、直接データベースやサーバーのファイルを見れるでしょうに。
Re: (スコア:0)
初期設定後にもう一度ランダムに自動発行して画面内で通知などすればいいでしょ。
Re: (スコア:0)
直接覗いたら犯人バレバレでしょ。
なりすませるってのは重要よ。
Re: (スコア:0)
管理者が自分の管理する情報を覗いたところで不自然じゃないしログも消せるでしょ
何がバレるのか
Re: (スコア:0)
セキュリティ対策の常識として「管理者の不正」が最重要とされて10年以上経過してると思うが、
こんな時代遅れな奴がまだいるとは・・・
今どき管理者が与えられた権限のまま覗き回ったら良くてクビ、悪けりゃ警察に通報される。
あと監査製品で特定のログ消すって不可能だぞ。
ログを全部吹っ飛ばすことなら可能だがその時点で管理者=犯人になる。
Re: (スコア:0)
「管理者の不正」が最重要とされて10年以上経過してるなどという事実は存在しません。
勝手な思い込みで歴史を捏造しないように。
事実であるというのなら証拠を示してください。
Re: (スコア:0)
> あと管理者がパスワードを知ってしまう問題も大きい。
ランダムに発行されたパスワードを管理者が把握してて何か問題あるか?
Re: (スコア:0)
管理者がユーザになりすまして不正を働ける時点で大問題。
何のために一方向性ハッシュで暗号化してると思ってるんだ?
Re: (スコア:0)
一方向性ハッシュで暗号化してるのは漏洩した生パスワードを第三者(=利用者と管理者以外の人間)が悪用しないためです。
管理者がユーザになりすました不正対策ではありません。
利用者が決めたパスワードを他でも使い回していれば、それを管理者が知得できることは問題になり得ますが、それは原則として利用者の自己責任です。
当然、ランダムに発行されたパスワードであれば、そのような問題は発生しません。
Re: (スコア:0)
IPA ISEC セキュア・プログラミング講座 [ipa.go.jp]
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構 [ipa.go.jp](改訂第7版)
Re: (スコア:0)
業務用PCの従業員パスワードを管理者が知ってたら大問題?
その従業員が休職・退職したらどうするつもりなんだよwww
Re: (スコア:0)
そもそも、パスワードが1つしか無いってのがダメなんだよね
システムが自動発行したパスワードと、ユーザーが決めたパスワードの2つを使えばいい
Re: (スコア:0)
ユーザの負担が大きいって時点で時代遅れ。
そういう「なんちゃってセキュリティ対策」は紙にパスワード書かれるくらいならマシな方で、
ログイン画面を模したフィッシングサイトにも平気でパスワード入力されるとか逆効果にしかならない。
証明書(ICカード)とPIN、必要に応じてトランザクション認証が今のトレンド。
Re: (スコア:0)
末尾の記号のローテが推測不能なら一定の意味はあるよね
Re: (スコア:0)
おもおかをあげたい。
Re:もう10年前の話しだけど (スコア:1)
で、結局今回の事件って垢が漏れたの?鯖が落とされたの?
とりあえず今のパスワード変更汁!だとか、定期的にパスワード替える!なんて "指示" が来たのだが…。ホントーにそれが意味のある対処であることを示すエビデンスは何も示されていない。
Re: (スコア:0)
あんまりガチガチにしちゃうと、今は亡き宅ふぁいる便みたいな社外サービス使おうとする奴出ちゃうしね。
Re: (スコア:0)
さもありなん。ま〜た富士通か。
Re:もう10年前の話しだけど (スコア:1)
Re: (スコア:0)
あなたが10年前に無料で改良して富士通にフィードバックしていたら今回のこのような事態は起きなかったのに。
と、今頃、この書き込みを見た富士通の人に逆恨みされているよ。ACで書いたのは賢明だね。
Re:もう10年前の話しだけど (スコア:3, おもしろおかしい)
なるほど。最近の富士通のやらかしが多いのは、このACが富士通関連会社を追放されたからなんですね。
今更戻ってこいと言われてももう遅い!
Re: (スコア:0)
むしろ本名で書かれたら、富士通の人が困るでしょ。
あの時に指摘されてたのに〜って。
あ、ACで書かれてもやっぱり困るからって事ですか?
だから書かないでくれと?
Re: (スコア:0)
> あーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。
それはProjectWEBに限らず世の中のほとんどのシステムでそうなのでは?
10年前って多要素認証どころかログイン通知すら一般的でなかった時代
そら「だったらお前改良しろよ」って言われますわ
Re: (スコア:0)
> 10年前って多要素認証どころかログイン通知すら一般的でなかった時代
10年前ならパスワードの強度検査はふつうにありましたね。
2007年の記事:
https://thinkit.co.jp/cert/article/0707/18/3/2.htm [thinkit.co.jp]
Re:もう10年前の話しだけど (スコア:1)
パスワードの強度検査してもIDとパスワードが漏れたら意味ないじゃん。
Re: (スコア:0)
ログイン情報が漏れることが想定外なシステムが問題なの。
漏れたときにそれとわかるようになってないのが一番まずいの。
わっかんねーだろうなあ。
Re: (スコア:0)
だからアクセス元のIP絞っとけよって言われてたジャン。
もともとイントラ間でファイルをやりとりすることを想定してるから
相手企業のGWアドレスだけ許可しとけばなんとかなるでしょっていう
システムで、実際なんとかなってたんだよ。
それが新コロ対策急造テレワークでガバッと許可アドレスを広げちゃったんでしょ。
だから今頃になって大騒ぎなんだと思うよ。
Re: (スコア:0)
Re: (スコア:0)
数年前にちょっと使った外部の人間だけど、制限掛けるからとGW情報を届け出た。
中の人たちはVPN(?)経由じゃないと入れないと言ってたけど、
そとの私たちはホテルのWiFiからでも入れました。
中の人ほど乖離に気づいてないのかも。
Re: (スコア:0)
もう18年くらい経ってるような気がするんだよなぁ…初期はマジ酷かった。
>ただし無料でな
そこはまっかく変わらね〜のなw