パスワードを覚えるのは諦める!
おやそうですか 私はシステム関係の6個のパスワードくらいは覚えています。それぞれ強度(桁数、文字種、etc.)が違うのでまったく別のパスワードにしていますがなんとか記憶しています。 ランダム文字列ではなく”なんとなくのフレーズ(例:”ばかはしななきゃ”=Bka8477kya 映画にもあった”まるさこわいよ”=035814 みたいに)”ですが...
SSO(シングルサインオン)は「セキュリティ対策」で紹介されることがありますが、私にはなんでこれがセキュリティ対策になるのか理解できません。
1つのシステムが破られる(というかIDとパスワードが露呈)すれば全部のシステムがやられっちゃうんですから、こんなの「全システムを同じID同じパスワードにしている」のと同じだと思います。(ちがうのでしょうか?)
一部SSOを利用してますが、統合してません。
他システムは個別にパスワードが必要となっており、大体3か月間でパスワード変更を促します。
クラウド(SaaS)利用が増えてきましたので、oktaやping、OneLoginなどのIDaaSを検討しました。
しかし、その矢先にOneLoginに不正アクセスが発生し、顧客データが晒される事件が
発生しましたので、全体的な導入は見送りました。
うちでは手帳に書くのはオーケーにしています。但し、何のシステムとかIDとパスを同じ場所に書くのは禁止です。また手帳に書く場合はそのままパスを書くのではなく、自分なりの文字変換をするように促してます。文字を追加するとか、aはアットマークにするとか。これなら落としても大丈夫ですよ!
みなさん、コメントありがとうございます!
ワンタイム&SSOで運用している会社さんってあるんですかね?
とっても面倒な気もしますがパスワード管理うんぬんからは開放されるのではないかなと思うのですが。
HATAさんのところも工夫されていますね
直接書かないでねということですね。なるほど。
自分に使えそうです。
ユーザーは守ってくれないと思うのでできないかなw
うちも似たようなものです。
縛りすぎるとユーザーが抜け道探しちゃうんですよね。
定期変更はかえって危険、なんて記事もありますし悩みどころです。
笑える笑えない例だと、
スマホのパスワードを8文字以上にしたら
ロック画面の背景画像をパスワードにしていた社員がいました。
こいつすげぇなと思いながら説教。
とまぁ、その手の話題を情シス部内で話に挙げても
「それは個人の責任だから」
「ルールは敷いているから」
と情シス守って会社守らず、なスタンスな人が多いんですよね。
kizaruさんも同じジレンマに悩まれているのではと思います。
横道それましたが、ウチとしては
・SSOは未導入
(未対応のシステムもあり、部分導入は混乱を生みがち
全体導入はコストが…)
・H/W(PC、スマホなど)のパスワードは
複雑(○文字以上、記号入りなど)にする
その代わり、指紋認証や顔認証を導入。
(正確には導入中)
・クラウド系はプライベート/パブリックを使い分け
(ただ、社員からするとややこしい…)
という感じで、全部のセキュリティを担保してたら
コストと利便性ばかり悪くなると考え、
入り口(PCやスマホ)だけ堅牢にして、他は緩め、というスタンスです。
私のところでは
SSO(シングルサインオン)ではないけれど、業務アプリやパソコンのログオンまで同じID、同じパスワードにしている人は多いです。
逆に全部変えている人のほうが「絶対に間違いなくパスワードを入れたのに「ちがいます」と言ってくる」と言ってパスワードのリセットを要求してきます。 それではと言ってリセットしたのに「まだ直っていない」とクレームをつけてくるのです。詳しく調べますと「IDが間違っていた」ということがあります。
どこかの記事に「パスワードがいらない世界」みたいなのが載っていました。早くそうなってほしいです。
クラウドが多くなってWebアプリで作動させることが多くなったと思いますが、
ブラウザでID・パスワードを覚えさせちゃうことがあると思います
そうするとパソコンが開いていればなんでもできちゃう ということになります
あまり問題になってないようですけど、考えかたによってはなんか 怖いですね
Nowさん
> という感じで、全部のセキュリティを担保してたら
コストと利便性ばかり悪くなると考え、
> と情シス守って会社守らず、なスタンスな人が多いんですよね。
禿同。
コストと利便性。おっしゃる通り、結局どこかに落とし所を設けて運用する感じですかね。
「セキュリティ」って言葉が嫌いになってきてます笑
ichan2さん
詳しく調べますと「IDが間違っていた」ということがあります。
パスワード変更依頼の何回かに一度はこれですね。
勘違いしている以上気づけないですからね。
パスワードがいらない世界、最高。
悪いことする人がいるからパスワードが必要になるので、悪いことしなければいい。
desatoさん
ブラウザでID・パスワードを覚えさせちゃうことがあると思います
自社の全ての業務用サービスはWebアクセスです。
なのでブラウザに覚えさせていると思います。
まぁ、悪意があればなんでもできちゃいますね。
めちゃくちゃ怖い人を風紀委員の社員として雇って、
社内循環させてルールを守ってない人はビンタ。
そんな運用にしてみたいです。
ルールを守ってない人はビンタ
傷害罪かモラハラで訴えられるかも
パスワードがいらない世界
パスワード入力なし というと 指紋や虹彩の生体認証でしょうか
でも前は 指紋認証付のパソコンで全数ダメになったからなぁ あんまり気乗りしないなぁ
お役に立ちましたか?他にもたくさんの ノウハウが共有されています。
パスワードの利用実態
引用:パスワードを使いまわしている利用者は8割以上 - 利用実態調査2017 _ マイナビニュース
自社の運用
セキュリティ対策として定期的なパスワード変更、同一パスワード使用不可、
8桁以上等ように使用するシステムに一般的に用意されている仕組みに従って運用。
全社員が使用するシステムは4つ。SSOは対応不可。
「パスワードをメモらないこと」、「ファイルに残さないこと」というアナウンスはしている。
情シスなので、一般ユーザーよりもたくさんのパスワードを管理している。
情シス用のパスワード台帳(Excel)を用意して、フォルダにアクセス制限を掛けて
運用。
結局、ユーザーには記憶してくださいと言っているけど、なかなか無理がある要望だなとも思う。
ユーザーからの声
実態の推察
おそらく自社のユーザーも一度条件を網羅するパスワードを作ってからは
1文字変える程度で使いまわしているのではないかなと想定。
パスワード生成サービス等で作った複雑なパスワードを使っているユーザーはゼロだろうなと思います。
(そんなパスワードは自分も覚えていられない)
で、残念ながら恐らくどこかにはパスワードをメモしていることでしょう。
(スマホのメモ帳や、自分自身にメールを送る等)
それが現実な気がしてならない。
今後もっと楽にするには・・・
もしくは、
(1Password、LastPass、KeePassなど)
引用:もう、「パスワードを覚える」のは諦めませんか? (1_2) - ITmedia エンタープライズ
結論
パスワードを覚えるのは諦める!