ノウハウ

2017年10月25日 21時45分
  • パスワード利用実態2017

パスワードの利用実態

引用:パスワードを使いまわしている利用者は8割以上 - 利用実態調査2017 _ マイナビニュース

スクリーンショット 2017-10-25 13.28.35.png

自社の運用

セキュリティ対策として定期的なパスワード変更、同一パスワード使用不可、
8桁以上等ように使用するシステムに一般的に用意されている仕組みに従って運用。
全社員が使用するシステムは4つ。SSOは対応不可。
「パスワードをメモらないこと」、「ファイルに残さないこと」というアナウンスはしている。
情シスなので、一般ユーザーよりもたくさんのパスワードを管理している。
情シス用のパスワード台帳(Excel)を用意して、フォルダにアクセス制限を掛けて
運用。
結局、ユーザーには記憶してくださいと言っているけど、なかなか無理がある要望だなとも思う。

ユーザーからの声

  • パスワードを忘れたのでリセットして欲しい(月に4〜5件)
  • パスワードの条件が厳しいから嫌だ(更新の度)
  • 複雑だと覚えてられない(更新の度)
  • 俺だけ期間長くして(経営の人から)

実態の推察

おそらく自社のユーザーも一度条件を網羅するパスワードを作ってからは
1文字変える程度で使いまわしているのではないかなと想定。
パスワード生成サービス等で作った複雑なパスワードを使っているユーザーはゼロだろうなと思います。
(そんなパスワードは自分も覚えていられない)

で、残念ながら恐らくどこかにはパスワードをメモしていることでしょう。
(スマホのメモ帳や、自分自身にメールを送る等)
それが現実な気がしてならない。

今後もっと楽にするには・・・

  • ワンタイムパスワード
  • SSO の2つの組み合わせで社内の全てのシステムへログインできる。

もしくは、

  • 有料のパスワード管理ソフトを全社員分導入
    (1Password、LastPass、KeePassなど)

引用:もう、「パスワードを覚える」のは諦めませんか? (1_2) - ITmedia エンタープライズ

結論

パスワードを覚えるのは諦める!

2017年10月25日 21時45分

12件の回答があります

パスワードを覚えるのは諦める!

おやそうですか 私はシステム関係の6個のパスワードくらいは覚えています。それぞれ強度(桁数、文字種、etc.)が違うのでまったく別のパスワードにしていますがなんとか記憶しています。 ランダム文字列ではなく”なんとなくのフレーズ(例:”ばかはしななきゃ”=Bka8477kya 映画にもあった”まるさこわいよ”=035814 みたいに)”ですが...

SSO(シングルサインオン)は「セキュリティ対策」で紹介されることがありますが、私にはなんでこれがセキュリティ対策になるのか理解できません。

1つのシステムが破られる(というかIDとパスワードが露呈)すれば全部のシステムがやられっちゃうんですから、こんなの「全システムを同じID同じパスワードにしている」のと同じだと思います。(ちがうのでしょうか?)

2017年10月26日 11時04分

一部SSOを利用してますが、統合してません。
他システムは個別にパスワードが必要となっており、大体3か月間でパスワード変更を促します。

クラウド(SaaS)利用が増えてきましたので、oktaやping、OneLoginなどのIDaaSを検討しました。
しかし、その矢先にOneLoginに不正アクセスが発生し、顧客データが晒される事件が
発生しましたので、全体的な導入は見送りました。

2017年10月26日 14時53分

うちでは手帳に書くのはオーケーにしています。但し、何のシステムとかIDとパスを同じ場所に書くのは禁止です。また手帳に書く場合はそのままパスを書くのではなく、自分なりの文字変換をするように促してます。文字を追加するとか、aはアットマークにするとか。これなら落としても大丈夫ですよ!

2017年10月26日 23時21分

みなさん、コメントありがとうございます!
ワンタイム&SSOで運用している会社さんってあるんですかね?
とっても面倒な気もしますがパスワード管理うんぬんからは開放されるのではないかなと思うのですが。

HATAさんのところも工夫されていますね
直接書かないでねということですね。なるほど。
自分に使えそうです。
ユーザーは守ってくれないと思うのでできないかなw

2017年10月27日 19時59分

うちも似たようなものです。
縛りすぎるとユーザーが抜け道探しちゃうんですよね。
定期変更はかえって危険、なんて記事もありますし悩みどころです。

笑える笑えない例だと、
スマホのパスワードを8文字以上にしたら
ロック画面の背景画像をパスワードにしていた社員がいました。
こいつすげぇなと思いながら説教。

とまぁ、その手の話題を情シス部内で話に挙げても
「それは個人の責任だから」
「ルールは敷いているから」
と情シス守って会社守らず、なスタンスな人が多いんですよね。
kizaruさんも同じジレンマに悩まれているのではと思います。

横道それましたが、ウチとしては
・SSOは未導入
 (未対応のシステムもあり、部分導入は混乱を生みがち
  全体導入はコストが…)

・H/W(PC、スマホなど)のパスワードは
 複雑(○文字以上、記号入りなど)にする
 その代わり、指紋認証や顔認証を導入。
 (正確には導入中)

・クラウド系はプライベート/パブリックを使い分け
 (ただ、社員からするとややこしい…)

という感じで、全部のセキュリティを担保してたら
コストと利便性ばかり悪くなると考え、
入り口(PCやスマホ)だけ堅牢にして、他は緩め、というスタンスです。

2017年10月30日 11時20分

私のところでは
SSO(シングルサインオン)ではないけれど、業務アプリやパソコンのログオンまで同じID、同じパスワードにしている人は多いです。

逆に全部変えている人のほうが「絶対に間違いなくパスワードを入れたのに「ちがいます」と言ってくる」と言ってパスワードのリセットを要求してきます。 それではと言ってリセットしたのに「まだ直っていない」とクレームをつけてくるのです。詳しく調べますと「IDが間違っていた」ということがあります。

どこかの記事に「パスワードがいらない世界」みたいなのが載っていました。早くそうなってほしいです。

2017年10月30日 11時50分

クラウドが多くなってWebアプリで作動させることが多くなったと思いますが、

ブラウザでID・パスワードを覚えさせちゃうことがあると思います

そうするとパソコンが開いていればなんでもできちゃう ということになります

あまり問題になってないようですけど、考えかたによってはなんか 怖いですね

2017年10月31日 14時48分

Nowさん

> という感じで、全部のセキュリティを担保してたら
コストと利便性ばかり悪くなると考え、

> と情シス守って会社守らず、なスタンスな人が多いんですよね。

禿同。
コストと利便性。おっしゃる通り、結局どこかに落とし所を設けて運用する感じですかね。
「セキュリティ」って言葉が嫌いになってきてます笑

2017年10月31日 16時07分

ichan2さん

詳しく調べますと「IDが間違っていた」ということがあります。

パスワード変更依頼の何回かに一度はこれですね。
勘違いしている以上気づけないですからね。
パスワードがいらない世界、最高。
悪いことする人がいるからパスワードが必要になるので、悪いことしなければいい。

2017年10月31日 16時10分

desatoさん

ブラウザでID・パスワードを覚えさせちゃうことがあると思います

自社の全ての業務用サービスはWebアクセスです。
なのでブラウザに覚えさせていると思います。
まぁ、悪意があればなんでもできちゃいますね。

めちゃくちゃ怖い人を風紀委員の社員として雇って、
社内循環させてルールを守ってない人はビンタ。
そんな運用にしてみたいです。

2017年10月31日 16時14分

ルールを守ってない人はビンタ

傷害罪かモラハラで訴えられるかも
 

パスワードがいらない世界

パスワード入力なし というと 指紋や虹彩の生体認証でしょうか

 でも前は 指紋認証付のパソコンで全数ダメになったからなぁ あんまり気乗りしないなぁ

2017年10月31日 16時51分

iPhoneが 顔認証 を売りにしていますが

あれって 顔写真 を 撮って 実物大くらいにプリントして

顔の前に貼っておいたら

本人と認証するのでしょうか?

SNSに写っている顔写真を入手してやればiPhoneが操作できてしまう

ということでしょうか

指紋認証よりも簡単に破られそうな気がします

2017年12月20日 09時51分

あなたもコメントしましょう!