楽天、パスワードの定期的な変更を推奨する文言を会員規約から削除へ 73
ストーリー by nagazou
混乱招くだけだからなあ 部門より
混乱招くだけだからなあ 部門より
楽天グループは2023年1月17日付で「楽天会員規約」を一部改定するという(「楽天会員規約」改定のお知らせ)。改訂されるのはパスワードに関連する項目で、改定前では、
アカウントを利用するためのIDおよびパスワードは、他人に知られることがないよう定期的に変更する等
の記載があったものが、改訂後は
第三者に推測されにくい複雑なパスワードにする、ログイン状態の端末を第三者に利用させないようにする、第三者の端末を利用してログインした場合には利用後にログアウトする
といった内容に変更された。パスワードの定期的な変更はさまざまなサイトで推奨されていたが、2018年に総務省の「国民のための情報セキュリティサイト」の内容が変更され、その必要性がないことが明示されている。内閣サイバーセキュリティセンター(NISC)からも、パスワードを定期変更する必要はない旨が告知されている(インターネットの安全・安心ハンドブック - NISC)。
弊社もやめてほしい (スコア:3)
弊社は半年に一回変更するルールですが、
毎回変更したパスワードを間違えて覚えてて(メモして)アカウントロックされるやつが出る。
アカウントロックされないやつは、いくつかをローテーションで変更しているだけ(俺)。
何年も前から無意味だと言ってるが、偉い人は変えたくないらしい。
腐ってもIT企業 Re:弊社もやめてほしい (スコア:2)
楽天のIT企業としてのレベルは高くないけど、それでも日本の大多数の企業よりはマシなのである。
Re:弊社もやめてほしい (スコア:1)
聞いてる雰囲気の組織だと、アカウントの貸し出しとか共用とかパスワードの雑な管理が横行してる可能性を感じる。
そういう実情ではパスワード定期変更ポリシーが一定の役割を果たしている可能性があって、安易にやめられないかも。
Re: (スコア:0)
何年も前から無意味だと言ってるが、偉い人は変えたくないらしい。
そこは勘違いですね
偉い人は(免罪符が周知されきってないから)変えたくない
のであってこうして免罪符が周知されてから出ないと動けません
なぜって責任者が責任取らなくちゃいけなくなるじゃないですかー
それまでの労力なんてしったことではないじゃないですかー
ってことですよ
Re: (スコア:0)
毎週始めにパスワード変更オススメ
ある程度複雑な固定文字列+週番号
Re: (スコア:0)
まぁ、離職者(派遣も含む)が出るたびにパスワード変えるうちよりは楽そう。
Re:弊社もやめてほしい (スコア:2, すばらしい洞察)
もしかして:共用ID使用
Re: (スコア:0)
正直「無意味」なだけだと中々ルールを変更する動機にはならないかな。
特にセキュリティの分野に詳しくない人にとっては。
ここは一歩進めて、「セキュリティ上悪影響がある」といってくれれば変更になる可能性は高いけど。
2段階認証すらない (スコア:1)
楽天は未だに2段階認証すらないんだよなあ。
楽天ビジネスではViberで2段階認証をやっているので、個人向けにやる気がないだけなんだろうな。
楽天カードですら、第二パスワードでお茶を濁すのはやめてほしい。
Re:2段階認証すらない (スコア:1)
「第二パスワードは大文字小文字を変えただけ」なんてものでも設定できちゃう。
# セキュリティレベル相応の多要素認証を使うっていう考え方がもっとちゃんと普及してくれるといいのになぁ。
Re:2段階認証すらない (スコア:1)
まあ、パスワードの中を変に見るのはアレだし、機密系のためのパスワード(一応)としてはまあそうなるよなという気も
ただ、そもそも知識系の2つめという運用がイマイチなのもあるしどうにかしてほしい
M-FalconSky (暑いか寒い)
Re:2段階認証すらない (スコア:1)
「XXしなければならない」には遅々としてやる気のない人(会社)に限って、
「もうXXしなくてもいい」という方向には驚くべき速さで対応するものです
Re: (スコア:0)
> 楽天は未だに2段階認証すらないんだよなあ。
当然です
楽天は、2段階認証のような新しい仕組みが理解出来ない人向けのサービスで成り立っている会社です。
たとえば、ホームページをみてFAXで注文する客、FAXでしか注文出来ない個人店舗、そういう20年くらい前の仕組みしか使えない人たちが楽天のターゲットです。
そんな人たちは二要素認証なんてつかえません。理解できません。新しい機能がないこと、今までと同じ方法で今後も使えること、それが楽天の売りなのです。
Re: (スコア:0)
楽天カード同様にワンタイムパスワード導入しよーぜ
そして誰も使わなくなった
Re: (スコア:0)
ヤフーもそれに気づいて二要素認証アプリやめちゃったのが恐ろしい
Re: (スコア:0)
セキュリティだなんだうるさく言って使い勝手悪くするの本当にやめてくれ。
最近アマゾンが二段階認証必須になって、しかも短期間ログアウトされるようになってしまったから本当に使い勝手悪い。もう面倒でどうしてもアマゾンでしか解決しないというときしか使わなくなった。
Re: (スコア:0)
Amazonと違って、そもそも会員登録しなくても買い物が可能なんですし。
楽天IDを持つかどうかは、任意であるという。
パスワード変更で意味あるのは (スコア:0)
既にお漏れになった場合だけよね。
そもそもパスワードを定期的に変更しろっていう理由や初出は何なんだろう。
Re:パスワード変更で意味あるのは (スコア:1)
パスワードを定期的に変更する理由とは何か [jpn.org]
ということだそうです。
システムの仕様上、一般アカウントでも時間をかければ全ユーザーのパスワードがクラック出来るようなお粗末なシステム向けの対処法だったって事ですね。
なので、未だにパスワードの定期変更をポリシーに掲げているようなシステムがあれば、パスワード情報が一般アカウントからアクセス出来るようなシステムを未だに使っているんですか? って問い詰めれば良いかと。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
> って問い詰めれば良いかと。
そのサイトの内容、鵜呑みにして大丈夫ですか?
Re: (スコア:0)
鵜呑みにして大丈夫だよ。
昔は実際にハッシュ読めてたし、そのリスクの対策としてなら今はやる必要はない(それ以外のリスク対策としてならやる理由はある)。
Re: (スコア:0)
一般的な職場なら年度替わりに人事異動がある(=パスワード漏れと同義)ので普通は定期的にパスワードを変更することになる
Re:パスワード変更で意味あるのは (スコア:2)
なんで人事異動でパスワードが漏れるの?役職共用Idなの?
「あなたは営業第三課長になったのでuser idはeigyo3kachoになります、パスワードはリセットしたので」みたいな話?
Re: (スコア:0)
みたいな話。
Re: (スコア:0)
そんなのを一般的と言われても。
Re: (スコア:0)
クレデンシャルを抜く人間と使う人間が別だから。タイムラグは、なかったりあったりする。
Re: (スコア:0)
お漏れになってかつそれに気づいていない場合。
あり得ないケースではないので全く無意味ではない。
何ごとにも言えることだが、メリットとデメリットのバランスにつきる。
Re: (スコア:0)
そう、既にあなたが書いてある通り、定期的にパスワード変更するってのは、どこかで漏れていると常に仮定する場合には意味がある。
多要素認証が使えない場合には依然として有効な手段ではあるので、やらないよりかはマシ。
あとは監査法人のIT監査で突っつかれるのよ、とある外資系の監査法人だと毎回監査項目に乗ってくる...
Re: (スコア:0)
お漏れになる前でも、強制的にユニークにすることでパスワードリスト攻撃を避けられる意味があると思うけれど
Re: (スコア:0)
毎回ユニークな新パスワードを設定するならそうだけど、徹底できるかなそれ?
前n回のパスワードと一致しないものぐらいの条件だと、n+1個のパスワードをぐるぐる使い回すことになりかねない。
定期変更を必要とするシステムで、パスワード設定ポリシーをがっつり固めてるところってどれぐらいあるだろう?
Re: (スコア:0)
自分のパスワードを平気で他人に教える人がいるから。
アカウントが作成されない新人に自分のアカウントで仕事をさせちゃうとか。
Re: (スコア:0)
以前は私も定期的変更させるなよと思ってましたが、意味のあるシステムを使うようになって仕方ないかと思うようになりました。
基本的には十分に強力なパスワードなら変える必要はないと思っています。
しかし、私のところはそうではありませんが、例えばケータイの代理店などですと Docomo や Y モバとか au とかがデータ全部握ってるわけです。で、そこにアクセスさせるわけですけど、代理店の人間は入れ替わりもそれなりにあって、しかも彼らは自分のデータじゃなくてキャリアのデータですから責任感もそれなりなわけです。だから担当がやめた後はアカウント
Re: (スコア:0)
なぜ桁数や使える文字種が少ない場合は変更に意味があるのか説明できますか?
Re: (スコア:0)
本気で分からないの?
Re: (スコア:0)
ブルートフォースアタックが一周するまでに要する時間が短いので
一周する前に変えないと確実に破られる。
普通は3トライミスでロックアウトとか、ブルートフォースアタックの抑止機能を入れて対処するけどね。
Re: (スコア:0)
仮にブルートフォースアタックを受けているとして、どんな順番で行われているか不明で、今どこまで進んでいるか不明で、
パスワードを変更することが本当に得なんですか?
Re: (スコア:0)
パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記 [tokumaru.org]
Re: (スコア:0)
> ブルートフォースアタックが一周するまでに要する時間が短いので
本当にそうか?
たとえばパスワードが1文字、使える文字がAとBとCの3文字だけとして
1) 利用者がパスワードをCに設定
2) 攻撃者はA、Bでアタック
3) 利用者がパスワードをAに設定
4) 攻撃者がCでアタック
って順番になれば3)でパスワードを変えた効果があるけど
例えば2周目の攻撃で
5) 攻撃者がAでアタック
となると突破される
そしてそもそも攻撃者が ABCの順番で攻撃してくるとは限らない。2)のときに攻撃者がB、Cでアタックしてきたら
Re: (スコア:0)
説明できるがお前の訊き方が気に食わないから説明しない。
Re: (スコア:0)
突っ込まれるのが嫌で説明できないということですね、ありがとうございました
Re:パスワード変更で意味あるのは (スコア:1)
直接の正解を持ち合わせているわけではありませんが、有意な説明ができないということは、その説は間違っているのではないでしょうか。
本当にそれが正しいなら「桁数や使える文字種が少ない場合はパスワード変更に意味がある」と記載した権威的資料か何かが見つかるはずです。
Re: (スコア:0)
権威的資料を特定するのは俺には無理。
元の問の答はわかるけど、権威的資料を特定できないから意味なし。
Re: (スコア:0)
意味ないなら黙っていればいいのに
構ってちゃんかな?
その代わり最近ログイン時に誕生日求められる確率が増えたんが (スコア:0)
誕生日登録せずに作った楽天のアカウントってどうしろっていうの?
Re: (スコア:0)
「誕生日を祝ってくれる人、います! 私もいます……ACさんになにもないなんてこと、絶対にないです!」
Re:その代わり最近ログイン時に誕生日求められる確率が増えたんが (スコア:1)
// せっかくなので漫画ネタ
ログアウトしても (スコア:0)
ログイン時にパスワード記憶がデフォルトオンだからログアウトしただけじゃなぁ
# まぁサイトだけじゃなくブラウザもそうなのは問題だと思うが
2018年か… (スコア:0)
4年くらい経ってるのに今でも定期的なパスワード変更強制させるサイトは減らないな
秘密の質問とかいうアホが考えたクソ機能も相変わらず健在だ
Re: (スコア:0)
楽天銀行相変わらず聞いてくるんだよね、秘密の質問。こっちもとっととやめてほしい。
Re: (スコア:0)
世の中には秘密の質問の、答えではなく質問自体も聞いているサイトがある。
たとえば、ねんきんネット。
あほなんじゃないかと思う。