PCやネットのセキュリティ対策、一般ユーザーとセキュリティ専門家との違いとは 82
ストーリー by hylom
あなたはどっち 部門より
あなたはどっち 部門より
Googleが「サイバーセキュリティ月間:エキスパートたちのセキュリティ対策」と題して、「セキュリティのエキスパートとそうでない人のセキュリティ対策比較」という調査結果を紹介している(PC Watch)。
これによると、一般インターネットユーザーが行っているというセキュリティ対策は以下のとおり。
- アンチウイルスソフトを使う
- 強固なパスワードを使う
- 頻繁にパスワードを変える
- 知っているウェブサイトしか利用しない
- 個人情報は公開しない
いっぽう、セキュリティのエキスパートが行っているというセキュリティ対策は次のようになっている。
- ソフトウェアアップデートをインストールする
- サービス毎にユニークなパスワードを使う
- 二段階認証を利用する
- 強固なパスワードを使う
- パスワード管理ツールを使う
パスワード管理ポリシー (スコア:2, 参考になる)
セキュリティのエキスパートは個人情報を公開しちゃうんすかね。
「知っているウェブサイトしか利用しない」ってのは、「普段利用しているサイトしか利用しない」ってコトに近いのかな。
パスワード管理ツール自体から情報流出っての無かったっけ。
暗号化されてるからほぼ安心だよってオチだった気もするけど。
二段階認証も対応していないところのほうが多いし、一般層にはまだまだ認知されて無い気がする。
一般ユーザの2,3とセキュリティのエキスパートの2,4,5はまとめてパスワード管理ポリシーレベルとしておけば良さそう。
今の会社内のサービスで要求されているのは「一般ユーザ」レベルのパスワード管理ポリシーでした。
Re:パスワード管理ポリシー (スコア:1)
セキュリティとプライバシーは必ずしも一致しないということでは。
Re:パスワード管理ポリシー (スコア:1)
>二段階認証も対応していないところのほうが多いし
個人的には、パスワード設定に記号類が対応していないサイトにゲンナリする。
Re:パスワード管理ポリシー (スコア:2)
数字四桁もあちこちでまだまだ健在ですし。
Re:パスワード管理ポリシー (スコア:1)
定義もくそもなく、どの文字でもOKにすればいいだけでしょう。どうせハッシュするんだし。
マルチバイト文字でもいいじゃん。
Re:パスワード管理ポリシー (スコア:1)
しかもブリオッシュはどう見てもパン。
Re:パスワード管理ポリシー (スコア:1)
#業務時間中エロサイト見放題!
Re: (スコア:0)
Re: (スコア:0)
もしかしたらソーシャルエンジニアリングとセキュリティの分野って距離があるんすかねえ
Re:パスワード管理ポリシー (スコア:1)
「セキュリティ専門家」ほどソーシャルというか、普通の詐欺にひっかかりやすそうなイメージありますね。
主に映画やドラマ等のフィクションで刷り込まれてるんだと思うけど > ジブン
#紺屋の白袴
Re: (スコア:0)
facebookやってたら、もう終わりですなんて言えないでしょ?
JNSA+NISC+IPA+S.A.C.= (スコア:1)
http://cybersecurity.jnsa.org/ [jnsa.org]
http://cybersecurity.jnsa.org/_data/ghost_in_the_shell-human-error-traps.pdf [jnsa.org]
nemui4氏の日記から。
http://srad.jp/~nemui4/journal/600024 [srad.jp]
#2月1日から3月18日までは「サイバーセキュリティ月間」。
#JNSA:特定非営利活動法人 日本ネットワークセキュリティ協会
#NISC:内閣サイバーセキュリティセンター
#IPA:独立行政法人 情報処理推進機構
突っ込みどころ (スコア:1)
×> セキュリティのエキスパートが行っている
○ 中級者以上が行っている
×>ソフトウェアアップデートが常に安全とは限らないのでは? ウイルスが入っていたらどうするのか?
○ ソフトウェアはいつも危険である。アップデートしてもなお。
×>アップデート自体に懐疑的な意見が見受けられた
○ アップデートの意味を理解していない
スラドIDの皆様は (スコア:1)
当然ユニークなパスワードですよね?
Re:スラドIDの皆様は (スコア:1)
「おれのパスワードは1234と、5678と、0000だぜ。」
「プー、クスクスクス」
それは「ユニーク」というより「おもしろおかしい」だ。
Re:スラドIDの皆様は (スコア:1)
あのぉ、1234と5678と0000は、わたしが使っているパスワードですので勝手に使わないでください。なおこの件に付いては、***にも通報済みです。
Re:スラドIDの皆様は (スコア:1)
既視感
Re: (スコア:0)
つ、つられないぞ。
個人情報をなるべく出さない、部分的に出しても他の部分と紐付けされるのを避けるっていうのは重要だよね。
セキュリティソフト売りたいだけじゃね? (スコア:1)
セキュリティ専門家って、そう言う会社の人たちだろ?
だったら、自分たちの会社で売ってる奴使って管理してるよとアピール
ほら、専門家が使ってるんだかだ、使った方がいいよ!
な感じ
当たり前すぎて (スコア:0)
ソフトウェアアップデートをインストールするって当然だと思っててまったく思いつかなかった
Re: (スコア:0)
したいけどするわけにいかないシステムを抱えててもどかしい、という理由で強く認識してたりして。
Re: (スコア:0)
ソフトウェアアップデートをすることはあるけど、
ソフトウェアアップデートをインストールするってなんですか?
Re:当たり前すぎて (スコア:1)
wsus?
Re: (スコア:0)
インストールするといえば、更新パッケージを追加する…Officeなんか、%windir%\Installer がすごいことに
Re: (スコア:0)
M$「もうみんなWindows10にアップデートしてくれたかな?」
自分は中間なひとなので、 (スコア:0)
一般人の方は、5番だけ、
プロの方は、1, 5番だけ、
しか当てはまらなかった。
というか、単にずぼらなだけなんですけどね。
パスワード管理ツールを使う? (スコア:0)
ご冗談を(笑)
それとも宣伝?
Re:パスワード管理ツールを使う? (スコア:1)
専門家はそのくらいみんな自分で作るって話じゃないんですか?
Re: (スコア:0)
サイトごとにランダム生成したパスワード使ってるから
いちいち覚えてられねーわ
Re:パスワード管理ツールを使う? (スコア:3)
同じく。
サイト毎に強固なパスワードを用意するとなると、この手のツールがないとやってられません。
あと記憶すべきパスワードの数が激減するので、手入力するしかないパスワード(PCのログインとか、管理ツールのパスワード等)を長く複雑にしても、なんとか憶えていられるんですよね。
このへんもパスワード管理ツールを使うメリットになるかと。
Re:パスワード管理ツールを使う? (スコア:2)
ディスプレイの脇にポストイットで張っておいた方がまだ安全な気がするが
Re:パスワード管理ツールを使う? (スコア:2)
一般人は全部覚えると聞いて管理ツールを開いたら、アカウントが300個近くあった [twitter.com]とか400個近くあった [twitter.com]といった声が寄せられております。
まあWi-FiのWPA鍵なんかも含めてでしょうけど、400個のIDとパスワードの組を覚えておける記憶力か、ポストイットに書いて貼れる広い壁があれば、それでもいいのかもしれませんな。
Re:パスワード管理ツールを使う? (スコア:1)
こっち [kingjim.co.jp]の話だったり
Re: (スコア:0)
完全オフライン動作なら大丈夫だろ。
ネットワーク機能を持ってたら使うのは論外だが。
Re:パスワード管理ツールを使う? (スコア:2)
例えば KeePass だと
パスワードの他に鍵ファイルも指定出来るので、
オンラインストレージにパスワードDB放り込んでも
鍵ファイルがないと解読は事実上不可能なんですよ。
だから、パスワードDBはオンラインへ。
鍵ファイルはローカルにだけ保持。
って運用で問題ない。
OSS なので、ソースいじって多重鍵ファイル化するというのも手です。
uxi
Re:パスワード管理ツールを使う? (スコア:1)
共通のパスワードとサイトのFQDNを文字列連結してMD5を脳内計算とか。
Re: (スコア:0)
サイトごとに異なるパスワードを使い、フィッシングサイトや他サイトへの誤入力を防ぐ観点から、専門家の間では多数派のようです。
Re: (スコア:0)
使わないで済むぐらい簡単なパスワードなんですねわかります
Re: (スコア:0)
使ったことないけど、パスワード管理ツール自体のセキュリティ強度とか、ツール自体が不意に使えなくなったときの復旧手段があるのかとかは調べた上で使いたい。
# え?クラウドでも共有できる?ご冗談を
Re: (スコア:0)
みたいなアホなこと言ってきたから、会社のPCのパスワードはクラウドにプレーンテキストで置くことにしたわ。家からリモートログインするときも必要だし。
Re:パスワード管理ツールを使う? (スコア:1)
半年毎だと、
yearmaehoge0
yearatohoge1
とかやりそう > ジブン
Re: (スコア:0)
良いハードウェアがあればいいのだけどなかなか無い。どれもこれもPCやられたら全部抜けそうなものばかり。
もっとも原始的で強固なPW管理ツール (スコア:0)
紙と鉛筆
# 他人に見られない場合に限る
Re:もっとも原始的で強固なPW管理ツール (スコア:1)
同じく。
サービス毎にユニークなパスワード を ランダムな文字列(強固なパスワード(?)) にして
紙に書いて、自宅に置いてあります。
当然、自宅に物理侵入されたらアウトですが、そういう状況というのは、通帳からカード、
保険証に免許証まで全部持っていかれる状況なので、考えても意味がないと割り切ってます。
# もちろん自宅には私一人しかおりません… (泣
Re: (スコア:0)
○もちろん自宅には警備員を常駐させております… (勝
Re: (スコア:0)
サービス毎にユニークなパスワード を ランダムな文字列(強固なパスワード(?)) にして
紙に書いて、自宅に置いてあります。
ブラウザで管理すれば、フィッシングサイトに入力してしまうリスクが下がりますよ。
Re: (スコア:0)
悪筆過ぎて他人に見られても安心!
ただし時間がたつと自分でも読めない。
Re: (スコア:0)
劣化するパスワードというのは考え方として面白いですね。
Re:もっとも原始的で強固なPW管理ツール (スコア:2)
確かに面白いですね。
#最期にPCを使用してから数年後にパスワード解除されるとかだったら死んでも大丈夫だなぁ。
Re:抜けてるよ (スコア:1)
PCを使わない。