社内システムのパスワード定期変更やってもいい意見 V.S. やめろという意見
- keijitakeda
- 27080
- 58
- 4
- 255
社内システムのパスワード定期変更をやってもいい(意味がある)という意見
企業ネットワークではパスワードの定期的変更もやむなし…というのは、主にWindowsのパスワードを指します。この場合はパスワードの定期的変更の効果が高いわけではなく、ショルダーハック等でパスワードが漏洩しやすい環境なのに適当なコントロールがなく、影響が長期化するため、という理由。
2016-08-26 06:53:22僕は企業ネットワークではパスワードの定期的変更もやむを得ない場合があると思っていて、そういう考えに変わったきっかけは北河拓士さんとの会話です。2011年4月ですね。 twilog.org/kitagawa_takuj… ただし、他にもっと良い対策があればそちらを取るべきです
2016-08-25 22:35:20@keijitakeda 私は個人的には企業内のような人的に閉鎖的な環境でのパスワードはある程度のサイクルや一定のタイミングで変更した方が良いと思ってますから、この記事内容に不審は無いですね。
2016-08-23 15:39:05…ちなみに。組織の中でのパスワード定期変更強制については、その組織の状況を分かっている人が判断すればよろしいと思っています。他人とパスワードを共有する状況や、パスワードを盗み見られる状況があるんだったら、定期変更にも意味はあるでしょう。その前にやるべきことはあるかも知れませんが。
2016-08-13 00:23:27パスワードを定期的に変更する、ってのは、やむを得ない。 いまのどうしようもないパスワード設定のまま放置していたら、社内セキュリティはデタラメのままだ。定期的に変更することに意義があるのではない、定期的に変更する際にセキュリティのセの字くらいを思い出してもらうことに意義がある。
2016-08-12 00:50:53企業内などの狭くかつ直接的な対人関係のある範囲だと、管理者の意図・指示に反して本来の対象者外に特定のパスワードが知られてしまっている可能性を考慮する必要があるかもしれず、その場合には「定期変更」は有効な対策。 twitter.com/teramako/statu…
2016-08-11 22:41:141)パスワードの定期的変更があまり意味のないことというのは、Webサービスの場合は同意するが、企業内のWindowsパスワードに関しては一定の効果はあると思う。一つはLAN上の攻撃者がNTLM認証のチャレンジ・レスポンスを取得可能な攻撃方法が色々あること。もう一つはDCCの問題。
2013-08-06 19:23:31私は、Webサイトでのパスワード定期変更は不要派だけど、AD とかの社内ネットワークの業務システムとかだと必要派だな。・・・システム側としては不要派だけど、利用者側だと必要な場合もあるよ。ゲスみたいに家庭内不和の真っ最中だとか、盗聴の恐れのあるネットワークを常時使用しているとか。
2016-05-27 14:08:39社内ではソーシャルに(例えば肩越しにと言うとアレ)パスワードがバレる事もあるので、システムに合わせて定期的な変更に意味はあるかも。
2016-03-08 12:36:13(続き)私の考えるシステム側リスクとユーザ側リスクを防ぐ手段としてパスワードの定期変更を行うことを求めてよいシステムは、システム側のリスク=ユーザ側のリスク=組織のリスクであるもの、つまり企業内システムでなおかつ外部より認証が可能なものと考える。
2016-03-04 10:09:18@usagi_kainusi パスワードの定期変更って、漏らさない対策、ではなくて漏らしてしまった場合/漏らす可能性がある場合、の対策だと思うんですよね。企業内などではそれでいいですがねぇ…(´・ω・`)
2015-06-26 00:37:21組織外へ提供するサービスでパスワードの定期変更言うのは間違いなく馬鹿げてるけど、組織内で提供するサービスについてはそうとも言い切れない。実態を見て、そもそもそれ以前の問題が起きていないか判断した方がいい。パスワードの定期変更どころの騒ぎじゃないかもしれませんから。
2015-06-13 15:59:56「定期的パスワードの変更」ですが、私は「事業社内でやる分には機密保持などの面でメリットがあるが、一般の方には無理だろう」と言うのが結論です。また、一般ユーザーに対しては「うちはパスワード漏れる可能性がありますよー」って言っているようなものです。なるべく使い回しは避けたいですね。
2015-06-05 21:49:58パスワードの定期変更は専門家によって否定されてるけど、完全に否定されるものでもないと思ってる。Webサービスで定期変更がデフォルトになるのは非現実的だけど、企業内なら負担に対してある程度の効果はある。ただ、サポートを含めたコストに見合ってるかは疑問。
2014-03-28 21:46:31パスワードの定期的変更に関する徳丸の意見まとめ
**
「最近、パスワードの定期的変更問題に関する優れたコラムを読みました。」
「すべてのパスワードを定期的に変更する必要はないが、企業内システムのパスワードなど、例外的に定期的なパスワード変更をした方が良いケースもあると説明しています。」
実際、パスワードはどれくらいの頻度で変えるべきですか?(lifehacker)
■パスワードを定期的に変えた方がいいアカウント
「一般論として、Schneier氏は次のようにアドバイスしています。」
「企業内で使うログインパスワードは時々変えた方がいいでしょう。また、Facebookについては、あなたの友達、親戚縁者、パパラッチなどがあなたのアカウントを盗聴する危険性を考慮してパスワードの変更頻度を決めてください。」
「また、二段階認証を備えていないEメール、メッセンジャー、カンファレンスサービスなどのサイトはパスワードを定期的に変更したほうがいいでしょう。」
社内システムのパスワード定期変更をやめろ(意味がない)という意見
@ama_villa 指静脈認証技術はあっても、あれを社内に適用する体力はないでしょう。定期的なパスワード変更を求めるなら、自動パスワード生成ソフトと、パスワード管理ソフトはセットで提供して欲しいですね。
2016-08-16 08:00:40社内システムの認証が、パスワード定期変更を要求、ID・誕生日・秘密の質問のみで再設定可能という、やってはいけないやつのコンボだった。
2016-08-04 09:03:12PWの定期変更はNG 米研究 | 2016年6月28日(火) - Yahoo!ニュース news.yahoo.co.jp/pickup/6205786 #Yahooニュース はてさてこの先どうやって落ち着くか。とりあえず会社内の不毛なパスワード変更がなくなると工数が減って助かる
2016-06-28 19:49:33