米国とカナダでの調査、最近90日以内にパスワードを忘れてパスワードリセットが必要になったとの回答が78% 19
ストーリー by hylom
むしろ覚える気がない場合もある 部門より
むしろ覚える気がない場合もある 部門より
headless曰く、
パスワードレス認証サービスを提供するHYPRの調査によると、最近90日以内にパスワードを忘れてパスワードリセットが必要になったとの回答が私生活で78%、仕事で57%に上ったそうだ(プレスリリース、Softpedia、インフォグラフィック)。
調査は米国とカナダのフルタイム労働者500人以上を対象に、2年半かけて行われたもの。調査期間のわりに対象者が少ないような気もするが、回答者の19%は仕事で使うパスワードが10個以上あり、37%は個人で使うパスワードが20個以上あるという。パスワードの管理方法としてアプリを使用するという回答は26%/30%(仕事/個人、以下同)に過ぎず、パスワードのリストを紙またはデジタルデータの形で作っているという回答が32%/35%に上る。一方、42%/35%は自力で記憶していると回答したそうだ。このほか、仕事でパスワード変更が強制された場合に既存のパスワードを一部変更して再利用しているという回答が49%、個人用のパスワードを再利用しているという回答が72%に上ったとのことだ。
個人的には先月、使用していなかったTwitterアカウントでパスワードが思い出せずにパスワードリセットしたばかりだが、スラドの皆さんはいかがだろうか。
リセット前提で最初から覚えない (スコア:1)
毎回再設定すればいいじゃん
Re:リセット前提で最初から覚えない (スコア:2, おもしろおかしい)
パスワード再設定用の URL がメールで送られてくるけど、メールのパスワードがわからない(実話
Re: (スコア:0)
メールアカウントはいくつか使い分けてるけどGmailが起点になるからこれを忘れると詰むな。
2段階認証とGoogle認証システムの引き継ぎ忘れも結構厄介。
いやー。あらためて考えるとGoogle様にキンタマ握られてるなぁ。
Re:リセット前提で最初から覚えない (スコア:1)
1.安いプロバイダを見付けたので乗り換えた
2.これまでのプロバイダのメールアドレスは使えないので、新しいプロバイダのアドレスに変更した
3.メールソフトのメールアドレスももちろん変更した
4.しかし、各ウェブサービスの登録メールアドレスの変更までは気が回らなかった
5.PCのHDDが壊れたので修理に出し、戻ってきたのでいろんなソフトを再インストール
6.Officeをインストールしたいが、PCを買ったときに付いてきたカードに記載のキーと新しいメールアドレスを入力してもダウンロードできない
7.そもそも、マイクロソフトアカウントとメールアドレスが紐付いている事も知らなかったし、どのメールアドレスで登録したかも忘れた
8.メールアドレスはやっとわかったが、パスワードが思い出せない
9.パスワード再設定をするにも、登録済のメールアドレスは古いし、電話番号も未登録
10.結局パスワードを再取得できずに詰んだ
こんな人を最近よく見掛けるので要注意
Re: (スコア:0)
そういう人にこそリセット前提運用は向いてますね。
メールアドレスがログイン認証上極めて重要なポジションに置かれていることに気付けるはず。
Re: (スコア:0)
これに尽きる
パスワードの使いまわしも防げるからデメリットも小さい
Re: (スコア:0)
スラド民大好きひろみちゅメソッド [takagi-hiromitsu.jp]ですね。なお、その結果
Re: (スコア:0)
一時期のアマゾンは再設定メールを受け取るかワンタイムパスワードを受け取るか選べたな。
きみきみ、パスワードは3ヶ月毎に変更したまえ (スコア:0)
Microsoft
「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」
https://www.itmedia.co.jp/enterprise/articles/1904/26/news082.html [itmedia.co.jp]
総務省
「内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています」
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy... [soumu.go.jp]
NIST(National Institute of Standards and Technology/米国国立標準技術研究所)
「ユーザーが攻撃を受けた証拠がある場合を除き、認証側は定期的にパスワードの変更を求めるべきではない」
弊社情シス
「3ヶ月毎に強制変更したまえ。異論は認めない」
圧倒的。何が?
Re:きみきみ、パスワードは3ヶ月毎に変更したまえ (スコア:1)
情シスではなく社内規定や監査基準では?
情シスとてパスワードリセットの運用とか面倒だろう。
社内規定を変更できる権限の人のITリテラシーを確認すべき。
Re: (スコア:0)
AD Serverとか使ってると3ヵ月って最初に指定しちゃえば後は自動でやってくれるからなぁ
情シスがダメダメな可能性は捨てきれない
ブラウザ様に管理していただく (スコア:0)
この間PCを新調したときは、Firefox Syncのパスワードのリセットからだったな。
パスワードに使う単語にパターンはあるが、組み合わせはそのときの気分次第なのでほぼ覚えていない。
根気よく組み合わせを試せば当たるときもある。
個人用のパスワードの再利用は、誰かに教えないといけなくなったときにまずいから絶対やらない。
逆に昔使ってた仕事用の英数羅列のパスワードを個人用のパスワードの一部に使ってたり。
パスワードポリシーがサイトにより異なるので困る (スコア:0)
パターンA:数字のみ
パターンB:英数字のみ、'.'や'-'や'_'を含め記号不可
パターンC:英数字と記号が使用可
パターンD:英字・数字・記号を全種最低一文字含める必要あり
パターンE:英字大文字・英字小文字・数字を全種最低一文字含める必要あり
パターンF:パターンDまたはEに加え、過去に一度でも使用したパスワードに戻すことも禁止、パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?それとも平文をサーバで持ってる?)
上記パターンを考慮しながらサイト毎に別々のパスワードを設定するとしても、個々のサイトが上記パターンのどれに該当するかは忘れがち。
そしてパターンFのサイトは、パスワードリセットのたびにパスワードがだんだん覚えづらくカオスになっていく……
Re:パスワードポリシーがサイトにより異なるので困る (スコア:2)
パターンA:数字のみ
パターンB:英数字のみ、'.'や'-'や'_'を含め記号不可
パターンC:英数字と記号が使用可
パターンD:英字・数字・記号を全種最低一文字含める必要あり
パターンE:英字大文字・英字小文字・数字を全種最低一文字含める必要あり
パターンF:パターンDまたはEに加え、過去に一度でも使用したパスワードに戻すことも禁止、パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?それとも平文をサーバで持ってる?)
全サーバー管理者で格闘トーナメントを行ってもらって
優勝したサーバー管理者のポリシーに統一しよう
おれはパターンCの管理者に優勝してほしい
なんで数字や記号を最低1文字使用しろとか命令されなきゃならんのだ
Re:パスワードポリシーがサイトにより異なるので困る (スコア:1)
パスワード変更も一文字だけの変更は禁止(パスワードのハッシュでそこまでわかるの?
(パスワードの文字数)×(英字数字記号の種類の数)のパターンでハッシュを計算し比較するだけなら,ほぼ一瞬で可能かも。
Re:パスワードポリシーがサイトにより異なるので困る (スコア:1)
パスワードに自身のユーザーIDを含めるのが禁止なのは当然ですが、(組織内の)他人の
ユーザーIDを含めるのも禁止されてるのはどうかと思ったことがあります。
ユーザーIDが氏名から生成されていると、パスワードに例えば自分の好きな芸能人の
名前を使おうとすると引っ掛かる可能性があります。
ただ攻撃者の総当たり用の辞書には主な姓名が含まれているだろうと考えると、当然のポリシー
なんでしょう。
-- う~ん、バッドノウハウ?
Re: (スコア:0)
パターンFのサイトで64^8回パスワード変更かけようずwwwwww
# パスワードマネージャで自動生成すればハネられた時に禁止文字と字数削るだけだぞ
任せて! (スコア:0)
スラドのパスワード忘れて何年も経ってる!
でもACで全然困っていない!!
あ、おもおか5のハードルがちょっと上がったってのがあるか。
# 登録時のメールアドレスはもう無効になってるし…
部門名 (スコア:0)
パスワードなどはなから覚えようとせずに、ログインのたびにパスワードリセットするという運用ね