パスワードを忘れた? アカウント作成
17005943 story
セキュリティ

数種類のパスワードで大半のウェブサービスを利用するユーザーは8割、トレンドマイクロ調査 62

ストーリー by nagazou
相変わらず 部門より
トレンドマイクロが8月31日に発表した「パスワードの利用実態調査 2023」によれば、Webサービスの利用者のうち83.8%がパスワードを複数のWebサービスで再利用しており、その中でも41.9%が2~3種類パスワードをほぼ全てのサービスで使用していることが明らかになった。このような行動をとる主な理由は、異なるパスワードを設定すると忘れてしまうがトップの72.8%、異なるパスワードを考えるのが面倒が48.6%を占めた。また、平均して1人あたり14種類のWebサービスを利用しており、異なるパスワードを管理する負担が依然として大きいことが示唆されている(日経クロステック)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 数種類とかアホすぎる (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2023年09月05日 7時54分 (#4522776)

    その点、俺は
    Hoge-00
    Hoge-01
    Hoge-02
    Hoge-03
        |
    Hoge-98
    Hoge-99
    と100通りものパスワードを使ってるぞ!

    • 98までは試したのだが
      親コメント
    • by Anonymous Coward

      例えば「nagazou」さんだったら

      Na1ga1zo@u をベースにする。

      あとはウェブサービス毎に数字だけ変える。
      定期的なパスワード変更が必要な場合も数字だけ変える。
      Na2ga2zo@u Na3ga3zo@u Na4ga4zo@u ・・・
      意味のある文字列の分割が心配なら「Nagazou」をランダム文字列にする。

    • by Anonymous Coward

      システム更新などのタイミングで、パスワードの再設定を求められることがありますよね。
      その時、英字だけのパスワードが設定できた仕様を数字も含める必要がある仕様に変更すると、旧パスワードの最後に2桁の数字を追加するユーザーが多いそうです。
      よって、ネタコメントとして非常に良いと思います。

    • by Anonymous Coward

      Hoge-99
      と100通りものパスワードを使ってるぞ!

      対抗してHage-00から、、、ふ、ふえない、、、

    • by Anonymous Coward

      100通りのハゲ?

    • by Anonymous Coward

      サービスごとのプレフィックスないしサフィックスとお決まりの番号にするのは割とマシかな?

  • by Anonymous Coward on 2023年09月05日 6時51分 (#4522756)

    いや、それ以前に人に教える前提のメアドをログインIDにするのをやめろ!
    IDつけるのはいいけど、それをサービス内で交流用に他人に表示するのをやめろ!
    パスワードを使い回すな!以前にOTPなりなんなりに対応しろ!

    • by Anonymous Coward on 2023年09月05日 7時04分 (#4522758)

      サービス毎に別々の専用メアド用意すればいいじゃん
      各メールは管理用メールアドレスに転送しておけば良いし
      #ろ!連発

      親コメント
      • by Anonymous Coward

        エイリアスの作成数制限とかなければ、自分でユニークidつけられるようなものなのでいいんですけどね。
        普通にだと、(ドメインと)サーバ持ってないとなかなか...

        • by Anonymous Coward

          メール転送サービス使ってメインなりダミーなりのアドレスに転送すれば?
          #レンサバ借りてるんでメールアドレス作りまくり。

        • by Anonymous Coward

          Gmailはサブメールアドレスの制限はないみたいですね

      • by Anonymous Coward

        今はフリーメールアドレスでサービス契約ってできるっけ?
        少し前はフリーメールアドレスだと契約できない所多かったよね。
        まぁ、gmailとかicloudなんかはフリーメールアドレスだけど、メインで使われるような場合も多いから、
        昔と違ってサービス契約でも使えるのかもだけど...

        フリーメールアドレス使えない場合は、レンタルサーバ契約でもしないと複数メアド取れないんだよねぇ...
        ふと気になって調べたら、ネットオウルのレンタルサーバがエコノミープランなら、年\1,860か...安いなぁ...
        メアド200個作れるから、20Gで容量足りてデータベース使用しないならアリだなと思ったり...

        • by asano_nagi (37547) on 2023年09月05日 11時55分 (#4522914) ホームページ
          さくらの、メールボックス専用サービスなら 20GB(ただし、2G/アドレス)アドレス数制限なしで、1,048円/年
          ※ただし、メールボックスのみ。
          ※ドメインは、さくらが持っている中から選択(独自ドメインの可能だが追加費用はかかる)
          --
          ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
          親コメント
    • by Anonymous Coward

      いや、それ以前に人に教える前提のメアドをログインIDにするのをやめろ!
      IDつけるのはいいけど、それをサービス内で交流用に他人に表示するのをやめろ!
      パスワードを使い回すな!以前にOTPなりなんなりに対応しろ!

      なんで?パスワードを使い回さなければ何の問題も無いのでは?

  • by Anonymous Coward on 2023年09月05日 6時06分 (#4522752)

    トレンドマイクロのことだからパスワードフィールドへの入力を横取りしてサーバーに送信したのかな、と思ったら単なるアンケートだった。アンケートなら見栄を張るだろうにそれでも83.8%というのはヤバいな

    • by Anonymous Coward

      アンケートに答えてる時点でかなりおまかせモードな比率は高そうですね。

      • by Anonymous Coward

        パスワードとアンケートに答えるかどうかは何らかの相関はあるだろうけど、「おまかせモード」って意味わかんないんだけど…

        • by Anonymous Coward

          ラジオボタンのデフォルトをチラ見して、まあそんなものかと「次へ」をクリックすること、ではないでしょうか。

      • by Anonymous Coward

        おまかせモードの人はパスワードマネージャー使うだろうから全部パスワード違うのでは?

        • by Anonymous Coward

          いうほどパスワードマネージャーって
          浸透してないぞ

          • by Anonymous Coward

            だってTMのパスワードマネージャ、お漏らししてくれたんだもん。

  • by Anonymous Coward on 2023年09月05日 9時00分 (#4522807)

    「3ヶ月ごとにパスワード変更しろよ!しろよ!絶対だぞ!」
    と言い張っていた我が社情シス。
    最近では偽スパムメール配信して「どうだ諸君、意識を高く持ちたまえよはっはっは」みたいな
    ことやって役員まで含めて大ひんしゅく。
    とうとう最近、「パスワードは固定でイイデス、使う文字とかをこんな感じで、、」と白旗。
    パス変更は無意味だよって言われ初めて何年たったのか覚えてないくらいですが。多分、総務省が
    ようやくそう言い始めたので右にならえしたんでしょうね。どっとはらい。

    • Re:やっと我が社も (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2023年09月05日 9時15分 (#4522815)

      訓練メールはポピュラーなトレーニングだよ。
      事前の連絡なしでやる場合も多いけどね。
      まあ、日ごろの信頼関係がなかったんでしょうな。

      親コメント
    • by Anonymous Coward

      パスワードの変更を求める「クソみたいな奴ら」と思っていたけど、8割もの人が使いまわしているなら相応の対応ではあったんだな
      まあ、一部のアホのためにちゃんとやってる人間に手間をかけさせる「クソみたいな奴ら」ではあるけど

    • by Anonymous Coward

      付箋でダミーいっぱい書いたものにヒント書いておくほうが安全な気がしてきた

    • by Anonymous Coward

      毎度思うんだが、どんだけ情シスに恨み持ってんのよ。
      情シスなんてコストセンターで稼いできてくれる部門に対しては権限皆無なんだから、恨み持つ前に現状を叩き潰して思うように作り変えた方は早いよ。

      • by Anonymous Coward

        情シスがマシン選定権限持ってて、セロリンRAM8Gを押し付けられてる
        とか
        色々いらん不便な社内規定押し付けられてるとか
        ありそう

        • by Anonymous Coward

          そういう愚痴で出てくるのは4Gが定番だと思っていたが
          最近は8Gか
          性能向上は進んでいるのう

        • by Anonymous Coward

          そりゃ情シスにきちんと予算あげないと、買える範囲のセロリンやメモリ極小PCになるんだよ。
          ちゃんと予算配分できてるの?

          • by Anonymous Coward

            予算勝ち取るのも情シスの仕事で、取れないので無能だと思ってるに1票
            それ自体は間違ってないけど、上申の時にユーザー部門が単純に文句ばっかり言って敵対の意思示してたら、そりゃ経営陣もそんな部署に予算割り振らないよね。
            で、いつまで経っても改善されないという、絵に描いたような負のスパイラルに陥ってるのをよく見る。
            そいつがうまく働けば自分がいい思いできると分かってるなら協力の意思を示してあげた方がいいのに、感情が優先されちゃうんだろうね。人間だからそれも悪いことじゃないが。

          • by Anonymous Coward

            そもそもマシンの予算ぐらい自分たちの部署で確保すれば良いのに。代替機ならまだしも。
            部長レベル動かせばそれぐらい簡単でしょ。
            #役職者がいいマシン使っているせいで理解してくれなかったりして。

        • by Anonymous Coward

          おこらないで聞いてほしい情シスには権限なんてない。
          良くて社長の指示ひどけりゃ親会社の指示。

    • by Anonymous Coward
      総務省が言い始めてからもう5年経ってますよ
      https://security.srad.jp/story/18/03/27/0431206/ [security.srad.jp]
    • by Anonymous Coward

      言われ初めて

  • by Anonymous Coward on 2023年09月05日 9時35分 (#4522825)

    ブラウザの認証って、指紋とかFeliCaとかでできないものなのかね。
    その類が実装されれば解決すると思うのだが、いつまでもそうならないのはなんでだろう?

    • by mer (347) on 2023年09月05日 10時36分 (#4522870) ホームページ
      結構前から Windows Hello や TouchID とか Yubikey とかの FIDO2 デバイスの認証が Web で使える WebAuthn が導入されてます。Microsoft Account とか gmail とか GitHub とかできるようになってるところはちらほら。

      パスワード管理しなくていいので便利! もっと広まらんかなあ... パスワード認証は利用者としても実装する開発者としてもしんどすぎて...
      親コメント
      • WebAuthnは便利なんだけど、普段使うとこで対応してるのYahoo! JAPANぐらいかな。
        他に使えるサイトを見たこと無い。

        あと、生体認証といいつつ「PIN4桁」でも使えるWindows Helloはちょっとどうかなと思ってる。
        PIN番号そのものはPC本体から漏れることはない、というのはわかるんだけど、
        数字4桁ってショルダーハックとかに弱そうすげてなんだか…
        それでも手軽で便利だからPINで登録してるけど。

        親コメント
    • クライアント証明書(S/MIMEベースのやつね)も自分は使える。
      でも、クライアント証明書でログインできたところは、未だに2カ所しかない。
      ※うち一カ所は、証明書の発行もと。
      --
      ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
      親コメント
      • by Anonymous Coward

        なるほどクライアント証明書か。
        初回に「この証明書を登録しますか?」というUIさえあれば、
        それで十分に安全性は担保されそうだよな。
        その使い方ならオレオレでも問題ない。sshみたいな運用。
        なんで普及しないんだろう?

    • by Anonymous Coward

      指紋認証は一致しているかどうかを判断するのがハードウェア依存なので、サービス提供者側では読み取った指紋と一致しているかどうかの判断ができず、認証が成立しません。

      Felica (NFC)はハードウェアには依存しないものの、暗号化されるのはカードとリーダーの間までなので、そこから先の暗号化や認証を規定して標準化する必要があります(ワンタイムパスワード生成とかに応用しようとしている例はあるが、カード側も変えないといけない)。

    • by Anonymous Coward

      指紋データをどこで持つかという大問題が発生するんだよ。

      サーバ側で持ってたら漏洩したときに大変なことになる。
      何らかの専用機器を使う場合はその機器が盗まれた場合に問題になる。

      指紋は10個しか無いのだから、替えがきかないという点でも漏洩等に対する解決がしづらいという問題もあるし。

  • by Anonymous Coward on 2023年09月05日 10時06分 (#4522841)

    アイドルの名前+設定時の年齢をパスワードにしてるんだけど

    一番古いパスワードは27年変更してないや。

    • おいおい
      // いや年齢かわらないとかいうから
      親コメント
      • by Anonymous Coward

        年齢欄が17なのか0101なのかはっきりしる!

    • by Anonymous Coward

      web上の最古パスワードは同じくらいだな27年
      最初のプロバイダメール、ずっと変えてない
      ま、最近開いてもいないが
      もっと古いのは最初に作ったキャッシュカードの4桁だな
      そろそろ40年

      • 今も生きてるパスワード最古は33年かな。
        NIFTY-Serve→@niftyと、PC-VAN→BIGLOBE のアカウントが初期パスワードそのまま。
        パソ通時代に散々入力したのでパスワードを指が覚えてる。

        @niftyはメールアドレス保持だけの休眠状態だけど、
        BIGLOBEの方はGポイントのアカウントとして今もそれなりに使ってる。

        親コメント
    • by Anonymous Coward

      自分も4桁数字を決める時に、推しの誕生日を拝借してたな。
      たとえ20年前の口座だろうと思い出せてしまう・・・

  • by Anonymous Coward on 2023年09月05日 17時55分 (#4523148)

    パスワード忘れたから再発行手続きしたところ、
    あなたのパスワードはこちらですねって生パスワード送られてきた。

    そうか、復元可能な状態で保管してるのかって、いそいそとパスワードを変えた。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...