パスワードの変更周期
477 票 / 51% |
27 票 / 2% |
21 票 / 2% |
13 票 / 1% |
18 票 / 1% |
21 票 / 2% |
4 票 / 0% |
345 票 / 37% |
投票所 | 他の国民投票
- 選択肢が少なくても文句禁止。だって、そもそもがジョークだし、場所は有限だし、選択肢を決めるのに事前投票なんてできないから。
- なんか良い投票ネタがあったら是非タレコんでくれ(国民投票用と明記)。毎回かなり悩みまくりなんだな、これが。ぶつぶつ言わずに助けてくれよぅ。
- この投票はとってもテキトーだ。四捨五入の誤差、投票マニア、ダイナミックなIP、 システムのバグ、プロキシーやファイヤウォールなんて考慮しちゃいない。統計だと思って このデータを大事な事に流用しようと思うなら小学校からやり直しましょう。
この議論は賞味期限が切れたので、アーカイブ化されています。
新たにコメントを付けることはできません。
漏洩したら変える (スコア:5, すばらしい洞察)
漏洩してないなら変える必要性は感じない。前回ログオン時刻とかの整合性をチェックする方が安全だろう。
というか、頻繁に変えるとそれそれで別のリスク招くわけで、「定期的に変える」意味は正直理解できん。
漏洩したことに気づかなくて、かつ定期的に漏洩することがわかってるなら定期的に変える意味もあるだろうけど、そんな穴だらけのシステムはそもそも使いたくないわな。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:漏洩したら変える (スコア:2)
同意。
あとパスワードの管理もソフトに任せておけば、(サービスの仕様が許す限り)いくらでもパスワードを長く複雑にしておけるので、パスワードを当てられる可能性を気にする必要も無いですからね。
Re: (スコア:0)
全く同意。
書こうとしてたことを全部書かれてた。
Re: (スコア:0)
取引先から年次で送られてくるセキュリティ状況の調査票などで、少なくない会社(というかそういうのを送ってくるほぼすべての会社)で、パスワードの定期変更を要求してくるのです。
定期変更しないようポリシ変えたくても変えられない、という会社は多いと思う。
Re: (スコア:0)
「漏洩したら」が本当に分かればいいけどね。Webサービスの場合、あちら側で漏れたかどうかは分かりようがない。
前回ログオン時刻の確認なんて、ログオン頻度が低ければ無意味だし。
「定期的に変えるよりも重要なことがあって、定期的に変えて安心していてはいけない」ということでしょ。
一般向けの啓蒙としては、「定期的に変えなさい」はNGと。
重要なことが守れていれば、定期的に変えるのが無意味とは言えない。
Re: (スコア:0)
漏洩=システムの穴
って感覚がいまだに理解出来んわ。
大穴があるのは本人そのものってもんだと思うのだがね。
まぁ自身含めてシステムなのかもしらんが。
Re:漏洩したら変える (スコア:1)
>>前回ログオン時刻とか
>だが、利用頻度低いサービスだとそんなの覚えてねえ。
銀行のやつは、一応メモってる。しかし照合するのをよく忘れる。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
勤務先は90日縛り (スコア:2)
# しかも一度使ったのは以降10回迄は使えない仕様。
Re:勤務先は90日縛り (スコア:1)
うちも同じだ。
でもその日のうちに0から9まで順に変更して結局元のに戻ってる。
Re: (スコア:0)
個人のパスワードと違って、勤務先のパスワードは
漏洩しても本人はあまり困らないから管理者側は大変だよね。
不在時に同僚にパスワード教えるやつとか絶対いるから
一定期間での変更を強制するのも一理あるけど、
ユーザ側は#2977262みたいなことをするに決まってるし。
Re: (スコア:0)
そういうだめな文化がありなおかつセンシティブなデータを扱ってるなら
生体認証と組み合わせた多要素認証にすればいいんだよ…
Re: (スコア:0)
社員証兼用のICカード必須で、社員食堂などで使えるクレジットカードorプリペイドカード機能を
組み合わせておくとかね。それでも他人にカードを貸す奴は出てくるかもしれんが、信用できない奴
には貸さない罠。
Re: (スコア:0)
ダメな文化が根付くのには必ず理由があると思うな。
うちのシステムだと毎日20回以上もやる作業について毎回作業者のIDとパスワードを要求してくる。
そりゃ手が覚えてるパスワードを可能な限り使い続けようとするわな。
例えばパスワードの認証を意味あるものにしたいなら、入力要求する頻度を下げるだけでも変わると思う。
Re: (スコア:0)
それより、
> 勤務先のパスワードは漏洩しても本人はあまり困らない
これを変えなきゃむり。
Re: (スコア:0)
ユーザに負担を押し付けるシステム設計はどうなんかなあ。
Re: (スコア:0)
ユーザの負担をまったくゼロにできるならいいけど、
ほんの少しでも負担があって漏れても自分がそれほど困らないなら
そのほんの少しの負担をちゃんとやってやろうっていうユーザは稀だと思うよ。
つーか、俺ならやらない。
Re: (スコア:0)
「それより、
> 勤務先のパスワードは漏洩しても本人はあまり困らない
これを変えなきゃむり。」
↑
これがユーザの負担、って話。
毎回再設定 (スコア:2)
まあ、ダイブ前の話で、あるwebのパスワードなんだけど。
なんか、へんな状態になってて(java script関係か?)ブラウザに残らない。
その上、数ヶ月に一回しかログインしない。だから、前回を完全に忘れてる。
今は、なんか、ちゃんと出来てる。
変えろと言われたら (スコア:2)
がなかった。
定期的に変える所のは、単純なパスワードになってしまってます。(反省) (スコア:1)
一カ月縛りの所と三カ月縛りの所があって、
三カ月縛りの方も短い方の一カ月に合わせて変えてます、
つまり二カ所で同じパスワードになってます。
僕の場合は、そのような定期的に変える決まりの所のパスワードは、
どんどん簡単なパスワードになっていくですよ、
果物名+数字とか。
ずっと同じパスワードの所は、
例えば"s2ophFy6bCp"みたいな感じでランダムにしてますので、
そっちの方が安全な気がしてます。
Re:定期的に変える所のは、単純なパスワードになってしまってます。(反省) (スコア:2, おもしろおかしい)
例えば"s2ophFy6bCp"みたいな感じでランダムにしてますので、
私のパスワードを公開しないでください。
Re:定期的に変える所のは、単純なパスワードになってしまってます。(反省) (スコア:2)
Re: (スコア:0)
いやいやそれは私のパスワードだ
Re: (スコア:0)
じゃあ俺がそのパスワードにするよ
Re: (スコア:0)
どうぞどうぞ
Re: (スコア:0)
それは私のお稲荷さんだ
Re:定期的に変える所のは、単純なパスワードになってしまってます。(反省) (スコア:1)
忘れたら (スコア:0)
あれ、このパスでもない、大文字小文字変えてもダメ?
よし、再設定で
#割とよくある
Re:忘れたら (スコア:2)
最近、パスワード登録はなしで、ログイン時にメールアドレスだけ入力して、ログインURLをメールで送ってきて、それクリックでログインできるようなサービスがちょいちょい出てきてる。
ある意味、毎回再発行してるようなもんか。
ユーザーにパスワード管理任せるよりは断然安全かもしれない。けど、手間・・・
Re:忘れたら (スコア:2)
個人で管理するよりは安全だと思いますよ。
もちろん、パスワード管理アプリ使うなど、自分でしっかりできてる人ならいいけど、ほとんどの人はできてないわけで。
それから、EmailがOAuthなどと違うのは、そもそもEmailアカウントが漏れたら全部漏れるのが基本的な仕様です。
パスワードの再発行により、Emailアカウントさえあればほぼすべてのサービスのアカウントを乗っ取れますから。
言い換えるなら、
だいたいのサービスが「アカウントのID&PASS」または「(パスワード再発行により)Emailアカウント」のどちらかがあればログインできる。
これを「Emailアカウントのみ」に限定することは一定の効果はあると思いますよ。
さらに最近のまともなメールサービスなら2段階認証を実装してるのでEmailアカウントは守りやすいし、Email送受信の暗号化も進んでますからURLを抜かれる可能性も低い。
Re: (スコア:0)
Re: (スコア:0)
毎月以上の頻度でログインしないアカウントはみんなそうしてる。
ランダムな文字列で再設定してその時使い終わったら
そのパスワードは忘れる。
どうせそんなの重要なアカウントじゃないし。
Re: (スコア:0)
頻度が低いのはそう割り切れば、意外とストレスは減るよね。
Re: (スコア:0)
あまり使わないオンラインバンクのパスワードを忘れると再発行まで1週間くらい掛かってしまう時がつらい
Re: (スコア:0)
銀行は財布代わりの1口座以外は、
インターネットバンキングもキャッシュカードもなし。
財布の口座はキャッシュカードの暗証が
数字4ケタって時点でセキュリティーは諦めて
盗られても困らない程度の金額しか置かないようにしてる。
Re: (スコア:0)
俺がそれを書くはずだったのだ。
俺がそれを書くはずだったのだ。
ということで忘れたらに一票。
Re: (スコア:0)
それが面倒になったのでAC
# 実は実話
定期的な変更はダメ (スコア:0)
変更周期で次のパスワードを予測されてしまうので不定期に変えるのが一番。
Re: (スコア:0)
こないだ、パスワードが"Feb2016"になってる人を見た。
パスワードのつけ方もダメだし、それが俺に見えるのもダメだし
もうぐだぐだ。
Re: (スコア:0)
せめてF2e0b16くらいにして欲しいよ。
Re: (スコア:0)
すまぬ kddi201603 にした。
その前は kddi201512 だった。
そう、 90 日ごとに変えろって言ってくるのよ、ポストイットに書いて、貼ってます。
管理しないスタイル (スコア:0)
パスワードは管理できないので変更しません。
システム側の制限でパスワードを変更しろ。
と、言われた際に、しょうがなくパスワード末尾につけてる枝番だけインクリメント。
枝番は0-9で回すので、今の所システムから文句を言われていないのでのらりくらりと。
滅多に利用しない場所のパスワードは記憶しない(出来ない)。
mkpasswd かなんかでランダム生成して使い捨て。
利用するたびにパスワードを忘れた人は…で初期化しなおし。
それが出来ないサイトは利用しません。
気が向くって何 (スコア:0)
今のところ気が向いたらが一番多いようだけど
パスワードを変える気になる、という心情が理解できない。
不定期ってことかしら。
Re:気が向くって何 (スコア:1)
想い人に由来するパスワードにしているから失恋したとき
嘘です。そんなロマンチストじゃありません
Re: (スコア:0)
ロマンティストではないので嫁が変更になるタイミングで変えています。
最短3か月、最長で1~2年。最頻値で6か月というところかな?
ちなみに各所で宣言してる公式嫁でなくキープ嫁を使うのが基本。
当然ながら名前をそのまま使うなんて事もしてません。
3つぐらいのセリフを組み合わせたパスフレーズを元にして加工したもの。
もっともアスミス率が高いので推測される可能性が結構高いのが難。
Re:気が向くって何 (スコア:1)
>ロマンティストではないので嫁が変更になるタイミングで変えています
こんなの、絶対おかしいよ
Re: (スコア:0)
セリフだと、面白いですね。
長くもしやすいし、自身で覚えやすいし、いいことが多そうなので、まねしようと思ったら、テレビがないことに気づいたので何をもとにしようかなぁと思案中。
私が聞いているラジオだと、三か月で内容変えるとか、やりにくいんですよね。
ところで、どんなセリフが多いんですか?←ソーシャルアタック
人によっては、 bebebetunianntanotamejanainndakarane のようになったりするのでしょうか
Re: (スコア:0)
ここで正直に書いたらリスクになるやん
セキュリティの問題より (スコア:0)
パスワードの変更の仕方がわからなくなるリスクが心配なので
年に一度くらいは変える
Re:セキュリティの問題より (スコア:2)
神宮式年遷宮みたいなものですか、なるほど。