アカウント名:
パスワード:
ProjectWEBってIDとパスワードだけで入れると記憶してるんだけどあーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。せめていつもと違う端末からのアクセスがあればメールで一報入れるような仕組みでもあればよかったのに。これ使ってた自分を含めた協力会社の人たちは「危なっかしいよねー」とか言うてたけどプロパーさんたちは聞く耳持たずだし「だったらお前改良しろよ。ただし無料でな」的な返答はあった気がするー・・・もう10年くらい前の話しだから忘れちゃったけどさ。
だからパスワードの定期変更をですね
3年前ぐらいの話だけど、パスワードは90日に一度変更が強制される、末尾の記号だけ変更してローテしてたから意味ない。
パスワード使いまわしの問題も、パスワード変更強制の問題も、そもそもユーザーにパスワードを決めさせるということ自体が諸悪の根源なんだよな。パスワードはランダムに自動発行しかできないようにするのが得策。
それやったら付箋にパスワード書いて貼られるんだけどな。あと管理者がパスワードを知ってしまう問題も大きい。
最悪中の最悪の悪手なので10年以上前に初期パスワードは任意のものに変更できるのが当然になった。
管理者はユーザーのパスワードなど知らなくても、直接データベースやサーバーのファイルを見れるでしょうに。
初期設定後にもう一度ランダムに自動発行して画面内で通知などすればいいでしょ。
直接覗いたら犯人バレバレでしょ。なりすませるってのは重要よ。
管理者が自分の管理する情報を覗いたところで不自然じゃないしログも消せるでしょ何がバレるのか
セキュリティ対策の常識として「管理者の不正」が最重要とされて10年以上経過してると思うが、こんな時代遅れな奴がまだいるとは・・・今どき管理者が与えられた権限のまま覗き回ったら良くてクビ、悪けりゃ警察に通報される。
あと監査製品で特定のログ消すって不可能だぞ。ログを全部吹っ飛ばすことなら可能だがその時点で管理者=犯人になる。
「管理者の不正」が最重要とされて10年以上経過してるなどという事実は存在しません。勝手な思い込みで歴史を捏造しないように。事実であるというのなら証拠を示してください。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
もう10年前の話しだけど (スコア:5, 興味深い)
ProjectWEBってIDとパスワードだけで入れると記憶してるんだけど
あーゆーシステムってIDとパスが流出しちゃうとそこからダダ漏れになるのよね。
せめていつもと違う端末からのアクセスがあればメールで一報入れるような仕組みでもあればよかったのに。
これ使ってた自分を含めた協力会社の人たちは「危なっかしいよねー」とか言うてたけどプロパーさんたちは聞く耳持たずだし
「だったらお前改良しろよ。ただし無料でな」的な返答はあった気がするー・・・
もう10年くらい前の話しだから忘れちゃったけどさ。
Re: (スコア:1)
だからパスワードの定期変更をですね
Re: (スコア:0)
3年前ぐらいの話だけど、パスワードは90日に一度変更が強制される、末尾の記号だけ変更してローテしてたから意味ない。
Re: (スコア:0)
パスワード使いまわしの問題も、パスワード変更強制の問題も、そもそもユーザーにパスワードを決めさせるということ自体が諸悪の根源なんだよな。
パスワードはランダムに自動発行しかできないようにするのが得策。
Re: (スコア:0)
それやったら付箋にパスワード書いて貼られるんだけどな。あと管理者がパスワードを知ってしまう問題も大きい。
最悪中の最悪の悪手なので10年以上前に初期パスワードは任意のものに変更できるのが当然になった。
Re:もう10年前の話しだけど (スコア:0)
管理者はユーザーのパスワードなど知らなくても、直接データベースやサーバーのファイルを見れるでしょうに。
Re: (スコア:0)
初期設定後にもう一度ランダムに自動発行して画面内で通知などすればいいでしょ。
Re: (スコア:0)
直接覗いたら犯人バレバレでしょ。
なりすませるってのは重要よ。
Re: (スコア:0)
管理者が自分の管理する情報を覗いたところで不自然じゃないしログも消せるでしょ
何がバレるのか
Re: (スコア:0)
セキュリティ対策の常識として「管理者の不正」が最重要とされて10年以上経過してると思うが、
こんな時代遅れな奴がまだいるとは・・・
今どき管理者が与えられた権限のまま覗き回ったら良くてクビ、悪けりゃ警察に通報される。
あと監査製品で特定のログ消すって不可能だぞ。
ログを全部吹っ飛ばすことなら可能だがその時点で管理者=犯人になる。
Re: (スコア:0)
「管理者の不正」が最重要とされて10年以上経過してるなどという事実は存在しません。
勝手な思い込みで歴史を捏造しないように。
事実であるというのなら証拠を示してください。