社内システムのパスワード定期変更やってもいい意見 V.S. やめろという意見

徳丸 浩 @ockeghem

企業ネットワークではパスワードの定期的変更もやむなし…というのは、主にWindowsのパスワードを指します。この場合はパスワードの定期的変更の効果が高いわけではなく、ショルダーハック等でパスワードが漏洩しやすい環境なのに適当なコントロールがなく、影響が長期化するため、という理由。

徳丸 浩 @ockeghem

僕は企業ネットワークではパスワードの定期的変更もやむを得ない場合があると思っていて、そういう考えに変わったきっかけは北河拓士さんとの会話です。2011年4月ですね。 twilog.org/kitagawa_takuj… ただし、他にもっと良い対策があればそちらを取るべきです

hebikuzure rené @hebikuzure

@keijitakeda 私は個人的には企業内のような人的に閉鎖的な環境でのパスワードはある程度のサイクルや一定のタイミングで変更した方が良いと思ってますから、この記事内容に不審は無いですね。

MAEDA Katsuyuki @keikuma

…ちなみに。組織の中でのパスワード定期変更強制については、その組織の状況を分かっている人が判断すればよろしいと思っています。他人とパスワードを共有する状況や、パスワードを盗み見られる状況があるんだったら、定期変更にも意味はあるでしょう。その前にやるべきことはあるかも知れませんが。

彷徨狸【タヌキ横暴注意】 @Lost_Tanuki

パスワードを定期的に変更する、ってのは、やむを得ない。 いまのどうしようもないパスワード設定のまま放置していたら、社内セキュリティはデタラメのままだ。定期的に変更することに意義があるのではない、定期的に変更する際にセキュリティのセの字くらいを思い出してもらうことに意義がある。

hebikuzure rené @hebikuzure

企業内などの狭くかつ直接的な対人関係のある範囲だと、管理者の意図・指示に反して本来の対象者外に特定のパスワードが知られてしまっている可能性を考慮する必要があるかもしれず、その場合には「定期変更」は有効な対策。 twitter.com/teramako/statu…

てらまこ @teramako

一般ユーザに定期パスワード変更を勧める話は正直どうでも良い。企業のシステム保守としての定期パスワード変更について聞きたいな

2016-08-11 22:38:30

北河拓士🔰 @kitagawa_takuji

１）パスワードの定期的変更があまり意味のないことというのは、Webサービスの場合は同意するが、企業内のWindowsパスワードに関しては一定の効果はあると思う。一つはLAN上の攻撃者がNTLM認証のチャレンジ・レスポンスを取得可能な攻撃方法が色々あること。もう一つはDCCの問題。

tomokisanaki @tomoki0sanaki

私は、Webサイトでのパスワード定期変更は不要派だけど、AD とかの社内ネットワークの業務システムとかだと必要派だな。・・・システム側としては不要派だけど、利用者側だと必要な場合もあるよ。ゲスみたいに家庭内不和の真っ最中だとか、盗聴の恐れのあるネットワークを常時使用しているとか。

🤪生江有益🥶 @if2was1

社内ではソーシャルに(例えば肩越しにと言うとアレ)パスワードがバレる事もあるので、システムに合わせて定期的な変更に意味はあるかも。

結城まお @yukimao

(続き)私の考えるシステム側リスクとユーザ側リスクを防ぐ手段としてパスワードの定期変更を行うことを求めてよいシステムは、システム側のリスク＝ユーザ側のリスク＝組織のリスクであるもの、つまり企業内システムでなおかつ外部より認証が可能なものと考える。

タモ＜ハザードマップを確認しましょう＞💉x5 @tamosan

@usagi_kainusi パスワードの定期変更って、漏らさない対策、ではなくて漏らしてしまった場合／漏らす可能性がある場合、の対策だと思うんですよね。企業内などではそれでいいですがねぇ…(´・ω・`)

どこにもいない人 @nowhereman17

組織外へ提供するサービスでパスワードの定期変更言うのは間違いなく馬鹿げてるけど、組織内で提供するサービスについてはそうとも言い切れない。実態を見て、そもそもそれ以前の問題が起きていないか判断した方がいい。パスワードの定期変更どころの騒ぎじゃないかもしれませんから。

タモ＜ハザードマップを確認しましょう＞💉x5 @tamosan

「定期的パスワードの変更」ですが、私は「事業社内でやる分には機密保持などの面でメリットがあるが、一般の方には無理だろう」と言うのが結論です。また、一般ユーザーに対しては「うちはパスワード漏れる可能性がありますよー」って言っているようなものです。なるべく使い回しは避けたいですね。

fnya @fnya

パスワードの定期変更は専門家によって否定されてるけど、完全に否定されるものでもないと思ってる。Webサービスで定期変更がデフォルトになるのは非現実的だけど、企業内なら負担に対してある程度の効果はある。ただ、サポートを含めたコストに見合ってるかは疑問。

みずや @mizuya_aqua

社内パスワードの定期変更とかいい加減やめて生体認証にしてください

yuji iwataki @yiwataki

@ama_villa 指静脈認証技術はあっても、あれを社内に適用する体力はないでしょう。定期的なパスワード変更を求めるなら、自動パスワード生成ソフトと、パスワード管理ソフトはセットで提供して欲しいですね。

yancya @yancya

社内でパスワードの定期変更強制をやめようという方向性に持っていった。やったね

𝓐𝓵𝓲𝔃𝓸𝓽 @alizot

社内システムの認証が、パスワード定期変更を要求、ID・誕生日・秘密の質問のみで再設定可能という、やってはいけないやつのコンボだった。

はまち＠サイボーグ0990 @hamachinchi

PWの定期変更はNG 米研究 | 2016年6月28日(火) - Yahoo!ニュース news.yahoo.co.jp/pickup/6205786 #Yahooニュース はてさてこの先どうやって落ち着くか。とりあえず会社内の不毛なパスワード変更がなくなると工数が減って助かる