アカウント名:
パスワード:
「簡単に推測されない」「使い回しをしない(最後の一文字だけ変えるのもだめ)」などのルールがある。
かつ、「定期的にパスワードを変更する(有効期限が設定してある)」だったりな。あと、「使い回し」は、「以前に使ったものを使わない(複数世代管理してある)」と「複数アカウント間で同じものを使わない」の二通りが有り得る。ついでに、昔に定めたであろう「辞書に載っている英単語を含まない」「英大文字・小文字・数字・記号を必ず1文字以上含む」なんてアホなルールが生きてたりして。
それでいて「パスワードマネージャーを使わない」とか、常人の能力を超えてるわけで、できるだけ覚えやすいものを使おうとして、結果「簡単に推測されない」の反対の状態になってしまう。
解決策としては、「そんなアホなルールを変える」か「IDMを導入してシングルサインオンにする」辺りを考えるんじゃねぇかな。そーゆーのを提案するのが「大手IT系の関連SIer会社」の役目じゃねーかな。
医者の不養生・紺屋の白袴・SIerのクソ社内システムだねぇ。だいたい、SIerの社内SEは、顧客相手の最前線では戦えないヤツらが居るわけだろうし、仕方ないのかもしれない。
その条件であればそんな会社は見限って転職が最適解じゃないですかね
# あれ?日本国籍企業が候補に見当たらないぞ
結局行きつくところはそこだよね。セキュリティ統括部門が己の仕事のコストを個々の従業員に丸投げしてる状態を是として改善する気もない、という話なんだし。
セキュリティ統括部門が己の仕事のコストを個々の従業員に丸投げしてる
でも、何らかの解決策を導入する場合、目に見えるコストが個々の従業員に降りかかってもくるわけで。
標準ノートPC起動時のBIOSパスワードが筐体裏に貼られているシリアル番号な会社の人より
おいおいSEもSIも社外相手にしてようが社内相手にしてようが患者は死なせるし売る袴も白く晒してすらいない染める工程にすら至ってない代物だろ。医者や紺屋に失礼だろ。
先立つものがないと、対策するための時間と人手がどうにもならんのよ。
わかっちゃいるけど止められない。むしろ分かってるから、さあ辞めよう。
そうならないように待遇をあげて引き留めればいいって?ご冗談を。
それは健全な話だね。
セキュリティを統括している部門もしくは責任者の意図的怠慢、って言う理由を、まま聞くね。つまり、何かを緩める方向へ変えた後、問題が発生した場合、その責任を追及される事を嫌がる。一方、何もしないでは評価が上がらないので、無駄に厳しい方向へ変えることはたまにする。それによって各ユーザに無駄なコストを強いることになるかもしれないけど、そんなものは定量的に把握しにくいので無視。
ま、どこにでもありがちな話だよね。
何かあったときの責任逃れのために利便性を無視したルールの使いにくいシステムにする(独自ソフトキーボードでのみ入力可能など)その結果、ユーザーは覚えやすく短く単純なパスワードにするという矛盾
最初の1文字を変えればOKですね。もしくは途中の1文字。
それは最初の条件「簡単に推測されない」に反するのでは?
結局、常人の能力を超え過ぎた目標を設定すれば、如何にして抜け道を探すか、ってことが新たな目標に設定されてしまって、もっとも重要な「簡単に推測されない」さえ無視されてしまう。こんなことは誰が考えても解りそうなものなのに、繰り返されちゃうんだよなぁ。
まるでSIerが社外にはまともなシステムを作っているような言い方ですね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
医者の不養生・紺屋の白袴・SIerのクソ社内システム (スコア:3, 参考になる)
「簡単に推測されない」「使い回しをしない(最後の一文字だけ変えるのもだめ)」などのルールがある。
かつ、「定期的にパスワードを変更する(有効期限が設定してある)」だったりな。
あと、「使い回し」は、「以前に使ったものを使わない(複数世代管理してある)」と「複数アカウント間で同じものを使わない」の二通りが有り得る。
ついでに、昔に定めたであろう「辞書に載っている英単語を含まない」「英大文字・小文字・数字・記号を必ず1文字以上含む」なんてアホなルールが生きてたりして。
それでいて「パスワードマネージャーを使わない」とか、常人の能力を超えてるわけで、できるだけ覚えやすいものを使おうとして、結果「簡単に推測されない」の反対の状態になってしまう。
解決策としては、「そんなアホなルールを変える」か「IDMを導入してシングルサインオンにする」辺りを考えるんじゃねぇかな。
そーゆーのを提案するのが「大手IT系の関連SIer会社」の役目じゃねーかな。
医者の不養生・紺屋の白袴・SIerのクソ社内システムだねぇ。
だいたい、SIerの社内SEは、顧客相手の最前線では戦えないヤツらが居るわけだろうし、仕方ないのかもしれない。
Re: (スコア:0)
解決策としては、「そんなアホなルールを変える」か「IDMを導入してシングルサインオンにする」辺りを考えるんじゃねぇかな。
そーゆーのを提案するのが「大手IT系の関連SIer会社」の役目じゃねーかな。
その条件であればそんな会社は見限って転職が最適解じゃないですかね
# あれ?日本国籍企業が候補に見当たらないぞ
Re: (スコア:0)
その条件であればそんな会社は見限って転職が最適解じゃないですかね
結局行きつくところはそこだよね。
セキュリティ統括部門が己の仕事のコストを個々の従業員に丸投げしてる状態を是として改善する気もない、という話なんだし。
Re: (スコア:0)
セキュリティ統括部門が己の仕事のコストを個々の従業員に丸投げしてる
でも、何らかの解決策を導入する場合、目に見えるコストが個々の従業員に降りかかってもくるわけで。
標準ノートPC起動時のBIOSパスワードが筐体裏に貼られているシリアル番号な会社の人より
Re: (スコア:0)
おいおいSEもSIも社外相手にしてようが社内相手にしてようが患者は死なせるし売る袴も白く晒してすらいない染める工程にすら至ってない代物だろ。医者や紺屋に失礼だろ。
ない袖は振れない (スコア:0)
先立つものがないと、対策するための時間と人手がどうにもならんのよ。
わかっちゃいるけど止められない。
むしろ分かってるから、さあ辞めよう。
そうならないように待遇をあげて引き留めればいいって?
ご冗談を。
Re:ない袖は振れない (スコア:2)
先立つものがないと、対策するための時間と人手がどうにもならんのよ。
それは健全な話だね。
セキュリティを統括している部門もしくは責任者の意図的怠慢、って言う理由を、まま聞くね。
つまり、何かを緩める方向へ変えた後、問題が発生した場合、その責任を追及される事を嫌がる。
一方、何もしないでは評価が上がらないので、無駄に厳しい方向へ変えることはたまにする。
それによって各ユーザに無駄なコストを強いることになるかもしれないけど、そんなものは定量的に把握しにくいので無視。
ま、どこにでもありがちな話だよね。
Re: (スコア:0)
何かあったときの責任逃れのために利便性を無視したルールの使いにくいシステムにする(独自ソフトキーボードでのみ入力可能など)
その結果、ユーザーは覚えやすく短く単純なパスワードにするという矛盾
Re: (スコア:0)
最初の1文字を変えればOKですね。もしくは途中の1文字。
Re:医者の不養生・紺屋の白袴・SIerのクソ社内システム (スコア:1)
それは最初の条件「簡単に推測されない」に反するのでは?
結局、常人の能力を超え過ぎた目標を設定すれば、如何にして抜け道を探すか、ってことが新たな目標に設定されてしまって、もっとも重要な「簡単に推測されない」さえ無視されてしまう。
こんなことは誰が考えても解りそうなものなのに、繰り返されちゃうんだよなぁ。
Re: (スコア:0)
まるでSIerが社外にはまともなシステムを作っているような言い方ですね