質問

2017年11月22日 17時29分
  • パスワードの定期変更についてどう思われますか?

BCH
情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

3ヶ月や半年、はたまた1年などのサイクルで強制的にリセットされるパスワード。

今までは「セキュリティを高めるために必要だ!」と言われてきましたが、最近では「パスワードの定期変更は時代遅れ!」という声もあります。

実際にそのように主張するユーザーもでてきました。

皆さまの会社では「パスワードの定期変更は廃止すべき」という意見は上がっていますか?

また、実際に廃止した場合にはどのようなポリシーに変更したのでしょうか。

ご経験やご意見をお聞かせください。

9件の回答があります

回答

弊社は定期変更ですが例外もあります。
共有PCのHDD暗号化解除パスワードを定期変更されると、変更の度にユーザーへの連絡が
必要かつ連絡しても覚えず付箋で貼られるであろうと想定し例外対象しました。

ただしHDD暗号化導入初期の数か月は付箋でIDとパスワードをなんどか貼られてしまいましたが
見つける度に剥がしてなんども禁止通達をする事で貼られなくなりました。

実は出張先での盗難事例も過去にありますが、パスワード定期更新対象から除外した事から
パスワードを付箋で貼られる事もなく(さらには一緒に盗まれそうな手帳に書くこともなく)
中身の機密データを守る事ができたと感じてます。

2017年11月22日 19時55分

回答

PREPARD様

ご回答ありがとうございます!

そういえば弊社もBIOSパスワードあたりは定期変更しておらず、OSや各システムへのログインIDを定期変更しています。

幸いユーザーのリテラシーはそこそこ高いので、ID・PWを付箋書いて貼り付ける輩がいないのが救いかもしれません。

2017年11月24日 10時30分
BCH

回答

2017年11月24日 16時43分

回答

ウチでは、「パスワードの定期変更は時代遅れ!」という声はないですね。

むかし、「毎月パスワードを変更する」と言い出したものがいて、私が「どうぞおやりなさい すぐに根をあげるから」と言いました。

最初の1回はやりましたが2回目は半年後。
今では1年に1回だけ

昔は希望パスワードを聞いて情シスでセットしていましたがすぐに自動化して、Excelできたものをスクリプトに変換するマクロを作って、バッチ実行で一世に変更するようにしていました。

今は「パスワードの期限が来ましたので変更してください」として自分で変更しなさい にしましたので情シスは手間いらずです。

ファイルサーバのユーザIDのパスワードも更新しますが、AD連携なのでフォルダへのアクセスには特に手間はかかりません。

2017年11月27日 13時52分

回答

kizaru様

コメントありがとうございます。うちもSSO導入しようかという案は上がっています。
ただ、今回パスワード定期変更を廃止を希望している人たちは、パスワードの定期変更はセキュリティリスクもあるし実施する意味が全くないから廃止すべき!という感じなので、SSO導入してもその声は消えないんだろうなと…。

2017年11月27日 16時57分
BCH

回答

desato様

「定期変更は意味がないしリスクとなる場合もあるって(定期変更ルールの)発案者も含めて海外では軒並み言ってるんだから廃止しろよ」と言われてます…。
定期変更自体は時期がくれば各社員に自動で強制変更かかるので情シス側に手間はないので、単純に社員側の「パスワードを変更する」手間を減らしたいということだと思います。

2017年11月27日 17時18分
BCH

回答

私は、正直、定期的に変更する意味はほとんどないと思っています。
むしろ定期的にくるパスワード変更で、似たもの、簡易的で単純なものにユーザーは変更していきます。
最近はよく見かけると思いますが。
(大手ですが)パスワード管理ツールを導入して廃止した例は聞きました。
うちも廃止に向けて検討しています。

回答

新しいお米様

お返事遅れてすみません!コメントありがとうございます。
個人的には既に簡単で単純なパスワードを使っている場合、そのまま定期変更を廃止したところでその癖というか習慣は改善しないのではと予想しています。
パスワードの定期変更の代わりとして提唱されているのはパスフレーズですし(72字以上でしたっけ)、そんなに長い文字の入力はMicrosoftさんも受け付けてくれませんし、現実的じゃないなぁと思います。
パスワードに2バイト文字が使えたらいいんですけどねぇ…。
定期変更はムダ!意味ない!という主張も分かるんですが、代替手段が無いので「やらないよりマシでは?」と思ってしまい廃止に踏ん切りがつかないでいます。

2017年12月05日 17時53分
BCH

回答

「パスワードの定期変更は時代遅れ!」って

たとえば通信を傍受されてそこから出てくる文字データから”これはパスワードだな”と思われるものを抽出して、関係のありそうなところにログインしまくる。 などという手法をやられた場合に、

何か月かのちにパスワードが変わればまた分析のやり直しなので、「効果がない」というわけでもないと思う。
同じパターンが使われても、一文字違えば成立しないのがパスワードなのでこれも 「効果がない」というわけでもないと思う。

昔、スタートレックネクストジェネレーションで データが指令室のロックを掛けるのに円周率をなん十桁か言っているシーンがありましたが(あれって合ってるのかな?) そんなフレーズじゃぁ”円周率何桁”とわかれば解かれちゃいますね。

2017年12月05日 18時51分

あなたもコメントしましょう!