パスワードの定期的な変更を勧める企業にその根拠を聞いてみた

先日、とある企業からメールにて会員向けに「なりすましログイン」に関する注意喚起メールが届きました。 その中にパスワードを定期的に変更することが推奨されていたので、その根拠について質問し、先方の担当者とやりとりした結果を記録として残しておきます。長文の割にとくにオチはありません。 メール内容の引用は全文ではありません。文頭の挨拶文など、本筋に関係ない部分は省略しています。 当該企業を晒し上げることが目的ではないため、サービス名、担当者名は伏せています。 まず最初に、会員向けに届いたメール（の一部）がこれです。 本メールをお送りしているメールアドレスのIDでは、なりすましログインは確認されておりませんが、今後、会員情報が不正に利用されることを防ぐため、定期的なパスワードの変更をお勧めいたします。 ※なりすましログインが確認された方については、別途、弊社より個別にご連絡を差し上げております。 今

[theatrical]

大体これに答えてるのは何もわかってない部署だろうから、「やれやれクレーマーからメールが来てめんどくさいな」くらいの認識しかなく、もちろん開発部署にも行かず、ただ低い認識とセキュリティが維持されるのみ。

[sho]

根拠があって定期変更を推奨しているわけではないと(知ってた)。

[kei_1010]

単にユーザーが不正アクセスされた時に「定期的に変えていないお前が悪い」って言いたいだけなんだろうなと思ってる。

[K-Ono]

そら自分とこのサービスさえ守れればいいしアタックかかったときもうちはこう案内してましたよーって証拠が残ればいいもんな。

[sakuragaoka99]

クレーマーという声が多いが、セキュリティ対策は携帯の電波と同じように形骸化した対策が無責任に放置されていると思うので、こういうツッコミがあってもよいかと思う。

[nakex1]

企業は使い回すなといくら言っても使い回す人が大量にいる現実と向き合わなきゃならない。「○○の場合は変えなくていい」と書くと，意識の低い人ほど前提を無視して「変えなくていい」だけを都合よく解釈する。

[style_blue]

地銀のオンラインサービスとかモロそうだけど、古いシステムのままで新しい認証の導入やPWの厳重化に何も対処していない所がセキュリティに気をつけてるふりをするのに便利なんだよこれ。

[JULY]

「クレーマー」という反応が多くて意外。高木さんみたいに電突じゃなく、メールなんだから、しかるべき部門が回答する時間的余裕はあるはず。まぁ、そういった部門が無い、分かっていないという現実は知ってるけど。

[aqn1]

色々変だとは思うけど、一番おかしいと思うのは「定期的」の頻度について分かりやすいアドバイスすらないことだな。

[rolls01]

ただただ嫌らしいエントリ。1企業がユーザのセキュリティ全般を気にかけるのは当然というクレーマー気概が不愉快。

[koyhoge]

安易に権威に頼らず自分の言葉で説明を試みようとする企業担当者には好感がもてるが、そもそも根拠はないのでちぐはぐな説明に。

[TakamoriTarou]

このメール……リクルート？　サイトによっては定期的に変更を促すシステムを入れてるところがあって、BtoBの所だが、聞いたらセキュリティもあるけど担当者間でIDを使い回されるのを防ぐためだと営業がぶっちゃけてた

[mkusunok]

こーゆー質問に対応するサポートも大変だろうな

[mak_in]

僕が考えるパスワードを定期的に変える理由。①効果はかなり薄くとも効果自体はある。②運営側が簡単にできる。③ユーザーに「ちゃんとセキュリティのこと考えてますよ」感をアピールできる。③が厄介。

[AmaiSaeta]

まぁぶっちゃけ利用者に責任擦り付ける為によく分からずに唱えてるだけだよねこう言うのって。 | (何処の企業か分かった……)

[futosuke9]

先日、とある企業からメールにて会員向けに「なりすましログイン」に関する注意喚起メールが届きました。その中にパスワードを定期的に変更することが推奨されていたので、その根拠について質問し、先方の担当者とや

[John_Kawanishi]

｢肝心の「Passwordの定期的な変更に意味があるのか｣｢どの程度の頻度で変えればよいか｣については結局最後まで納得できる回答は頂けませんでしたがResponseは非常に早く此方のぶっきら棒な質問に対しても丁寧な回答を

[Jazzy-T]

定期的なパスワード変更をしても、リスクはゼロにはならないよね。企業とユーザーそれぞれが色んな意味で「自己防衛」できるだけで。

[r-hiragi]

けだしパスワード変更するために使う端末がウィルスに感染しているとパスワードはダダ漏れなわけで、定期的な変更にどんな意味があるのか分からない。でも俺は変更するけど。

[araigumanooyaji]

とりあえずアリバイ作りのために定期的変更を呼びかけてるだけなのかな。猫を電子レンジに入れるな的な。

[takuno]

肝心の「パスワードの定期的な変更に意味があるのか」「どの程度の頻度で変えればよいか」については、結局最後まで納得できる回答はいただけませんでした

[shinagaki]

定期的って言葉便利だな

[ooblog]

「他社様で利用している、いないに関わらず、パスワードを変更すること」こういうのは電源が入らない場合コンセントを一旦抜いてからもう一度挿してください(実は挿さってなかった)的なつもり対策だと思う。

[nilab]

パスワードの定期的な変更を勧める企業にその根拠を聞いてみた | 富永日記帳

[n-sekiraku]

まさかの時のための予防線ですから。仕方ないですね。

[Kmusiclife]

今だに生でパスワード保持している企業大量だろうな。法で縛るべきよ。

[kumaroku]

良い質問

[ogatatsu]

パスワード変えるのって１０個２０個とかになってくるとめんどくさいよね。まずサイトでアカウントセッティングあたりで変えるのかなとか思ってもそれがどこにあるかわからないクソサイトがあったりして。

[dynamicsoar]

最初の会員へのメール書いた人と回答してる人は別なんだろうけど、書いた人に問い合わせなかったのかな。「ご意見は担当者に伝えておきます」ってならないのも不思議（その部分割愛しただけか）

[yasuhiro1212]

もうID、パスワードを従来のやり方で管理するのは現実的ではない。ソーシャルログイン対応を企業は検討してほしい。Google、facebook、Twitter、楽天、Amazon…このへんに対応すれば9割以上のユーザーはカバーできるはず。

[morobitokozou]

公式メルマガとかに「定期的にパスワードを」的なことが書いてあるの見るたびに「うわぁ・・・」って思う

[itochan]

10分ごとにパスワード変更をリクエストするプログラムを作って、ご近所さんに配布しまくればいい。何か言われたら「定期的変更です」

[akulog]

まぁ、これはクレーマーだよな。実際にはパスワードを付箋紙に書いてPCのディスプレイに貼るとか、パスワードを書いた手帳を飲み屋で紛失するバカがいるからこういうことになってるんだろうが…

[pukarix]

全くそのとおりだと思う。パスワードの定期的な変更は無意味である。