質問

2016年08月25日 17時05分
  • パスワードの定期強制変更は却って危険?

質問

最近、パスワードの定期的な変更を促すことは
ユーザーが安易なパスワードを設定してしまうため
セキュリティ的に逆効果であるというニュースをよく見かけるようになりました。

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/031600480/?rt=nocnt
https://www.maruoka-digital.jp/blogcontent/260610387/
http://news.yahoo.co.jp/pickup/6205786

セキュリティ対策の常識もこうして変わっていくのでしょうね。

2016年08月25日 17時05分

6件の回答があります

回答

+>ユーザが自分でパスワードを設定する....この方法はやめました
だったのですが 今は 期限付きパスワードにして期限が来ると「パスワードを変更しなさい」になる。
まぁ私はこの方法に反対だったが後任者が「これでいく」というので「(クレヨンしんちゃん風に)やればぁ」。

意外にもトラブルは少ないみたい 私が20年位前にやったときは「パスワードを教えろ」「入力したが違うといわれた。どうすればいいんだ」の嵐で電話が鳴りっぱなしだった。すこしはリテラシーが上がったのかもしれない。

2017年05月02日 11時27分

回答

>cyanさん
頭より手が覚えている、あるあるですね。
ヘルプデスクで作業のためユーザーさんにパスワードを教えていただく際も
ユーザーさんから「キーボードでは打てるけど紙には書けない」とよく聞きますw

毎回パスワードをリセットするアイデア、面白いですね。
実際、それぞれのサービスで違うパスワードを設定していると頭が混乱するので
実践してみようかな(笑)

2016年08月29日 15時16分

回答

PCパスワードは記号入りランダム文字列ですが
頭より手が覚えているので紙に書こうとしてもパッと書けなかったりします

ふと思ったんですが使用頻度の低いWebサービスなんかは
その時に適当なパスワードをつけてかつそのパスワードはあえて記録しない
次に使うときは「パスワードを忘れた時は」からパスワードをリセットして使うとかどうですかね?

パスワードの管理も必要ないし
1人ワンタイムパスワードみたいな

2016年08月26日 12時31分

回答

あるあるにも書きましたが
ユーザが自分でパスワードを設定すると次の瞬間に「パスワードを忘れたので教えてほしい」と来るのでこの方法はやめました
今は、一応、希望を聞いてそれがルール(文字数、文字種、etc.)に合っているかどうかチェックしてから登録しています。その希望ですが期日までに返答してこないとこちらで決めた乱数文字にするのでとても覚えにくいです。

2016年08月25日 22時54分

回答

ヘルプデスクやってるとユーザーのパスワードを教えてもらって作業することが頻繁にありますが、「安易なパスワードつけてるな~」と思うことのほうが多いですね。
あとは「あぁ、このアイドル好きなのねw」なんて、パスワードからその人の趣味嗜好が透けて見えるときもあります…(笑)

2016年08月25日 17時39分

回答

ユーザー側にパスワードを決めさせない管理(=指定PWを使用してもらう)をやれるならば、それで安易なパスワード設定は防げますが…管理側からすると変更頻度を低くしないとやっていられなさそうですね。それだけで工数が増えそうで。

2016年08月25日 17時28分

あなたもコメントしましょう!