職場でセキュリティ対策のためにパスワード運用を複雑にした結果、かえってセキュリティがザルになった話

ジェット・リョー @ikazombie

職場の情報セキュリティポリシーが厳しくなり、個人PCのパスワード運用も「過去○回に使ったパスは再使用不可」「○週ごとに変更」「文字数○以上で使用文字ルールあり」など厳重になった結果、おっさん達が自分のパスを覚えられずふせんに書いてPCに貼り付け始めてセキュリティが以前よりザルに。

ふじき78 @fjk78dead

@ikazombie やり方が悪い。全部同じで連番だけ変える。前回と同一文字列かどうかのチェックをしてるなら連番数字のアップ時にその数字の文字数目に位置を動かす。全員で毎日失効して管理部門をギブアップさせるという手もあるが、これは全社的な協力がいるから無理だろうな

アユミ　オダ @rm_oti

@ikazombie @MrDennisMoore 前にパスワードで一番使用されているのは｢12345｣と｢password ｣だとツイしてた人がいて、私はそれを冗談だと思ってたが何と本当だった(*_*)

梨代なる☆ @Naru_NASHIYO

@ikazombie 結局十分にユニークなパスワードを定期更新などさせずに運用するほうがよっぽど堅牢だったり。 定期更新をさせるとどうしても単純なものにしがちで、そうなると逆ブルートフォースアタックでの突破を許す自体に…。

セリア。日本語不自由 @celia0829

@ikazombie 全員指紋認証にして、ランダムな他人の指紋を使えばいいんですよ。ランヤードに2、3本ぶら下げて使えます。

和 @kazu000001

@ikazombie 20桁自動生成パスワードを強制して、全滅した話します？

新宿御苑前Bar Function @snack_madonna

@kazu000001 @ikazombie 横から失礼します。 父は10面ダイスを持ち歩いていて何かパスワードが必要な度に振っていましたが20桁自動生成は人間の記憶力に挑戦しているとしか思えません…天才ばかりの職場だったんですか？

和 @kazu000001

@snack_madonna いや、私が調子に乗っただけです。セキュリティ強度にも限度があると思い知りました。

chronos @chronos2018

@rm_oti 私はそのパスワードやめましたよ。代わりにユーザ名と同じにしました。ログイン画面にユーザ名は初期表示されます。それを見ながら打てばok！

アユミ　オダ @rm_oti

@chronos2018 バスワードは個人情報守る為のもので、単にPCを再起動させる為のものではないと思うのですが。このようにTwitter で自分のパスワードを明かしてしまうのは 危険。会社や自宅も完全に安全ではありません。Twitter は個人情報ザルのように漏れてます。