"A low sense of security can only be a disease. "employee criticism is hot on the Internet" even the password can not remember the staff crisis awareness is too low! "so I asked the Internet fire expert for management tips.

Written By mobilephonebrand

There are personal smartphones on the company's computers and banks, on mail-order sites such as Amazon and Rakuten. How many people use several passwords in their daily life, but remember them all? Also, if the company's head of security issues instructions to change passwords on a regular basis.

On the Internet, angry posts from security officials sparked a riot: "A lot of crisis-conscious employees who don't remember passwords are stunned." It's not just criticisms like "what are you going to do" and "too much". In fact, it has recently become a trend that "you don't need to change your password".

Changing the password many times is old, and not changing it is the latest trend.

The opportunity for the topic is to contribute to Komachi, a website for women (March 11, 2018). When the people who manage security policies in the company's information systems department "change the password once every three months" in order to strengthen the security, the staff are dissatisfied. Not only that, some employees use two passwords to change alternately, indignantly and generously: "employees' low sense of security is a level that can only be described as a disease."

Employees have been set to not be able to log in if three times the wrong password, but those who will ask the computer for initialization forget the password constantly. They argued that, 'because I was told not to write on paper,' this was my anti-Gillette attitude. How can we make employees' crisis awareness normal? "he asked for advice.

In this contribution, "employees' sense of crisis is like this everywhere." Isn't it the job of the person in charge of security to take safety measures without putting a burden on employees? "more than half of the people strongly opposed it.

「セキュリティ感覚の低さは病気としか…」社員批判がネットで炎上 「パスワードも覚えられない社員は危機意識低すぎ!」でネット炎上 専門家に管理のコツを聞いた

For example, "you may be the amulet of the system, but the employee is not." If you change your password every month, you will usually forget it if you don't record it somewhere. Instead of obsessing about getting them to remember passwords, explore other authentication methods that are more user-friendly. There are card authentication, fingerprint authentication, face authentication, two-factor authentication that combines them, and so on.

In addition, "the method of changing passwords many times is outdated. Recently, many people have questioned the "qualifications" of contributors as security responsibilities. "this has become a style in which there is no need to change passwords."

Among them, "the contributor made a mistake about the effort." It's best not to change passwords regularly, according to a guide issued by the National Institute of Standards and Technology (NIST) in 2017. In Japan, the Cabinet Server Security Center (NISC) and the Ministry of General Affairs said the same thing. The complexity of combining passwords with the capitalization of numbers or letters. And irregular changes, rapid change when outflow is the recent trend, "it is also pointed out by experts.

Ask the expert: "make a complex password that only you know."

And there are suggestions about how to make and remember a complex password that no one else knows.

「たとえば『5m16YK2』。5歳でマリちゃんに片思い、16歳でヨシコさんと付き合い、その後結婚して2児に恵まれた。これなら自分にしかわからず、覚えやすいでしょう」

Indeed, in November 2017, the Ministry of General Affairs changed the administrative policy on the use of passwords such as login from "should be changed regularly" to "do not need to change regularly". On the province's home page, "feel free to use the Internet for the sake of national information security", it wrote.

「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出したりした事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化して簡単なものになることや、使い回しをするようになることのほうが問題となります」

Recommend free software to securely manage and save passwords

So, in the work unit, my home computer, smartphone, etc., to distinguish the use of a few passwords, how to remember, etc., many people are worried about security.

The watch editorial department of J-CAST News further asked experts how to manage passwords.

Is there something wrong with the security method of the person in charge of this system?

専門家「情報セキュリティの理想は、社員の利便性を損なうことなく、セキュリティを高めることですが、そのためには専用のアプリケーションやシステム導入などコスト面での投資が必要になります。投稿者の企業の規模やコストなどはわかりませんが、コストをかけずにやれることとしてパスワードの変更期間を短くするという対応をしています。一概にパスワードのルールといっても、さまざまありますが、パスワードの使い回し自体をシステム側で制限しておくことや、パスワードの入力規則を指定することで安全性の高いパスワード設定を求めることはできます。それをやらず、ただ単にパスワードの変更期間のみを短くしたので社員に負担がかかっています。また3回間違えればロックアウトというもの厳しすぎます」

-- it has recently been called "No need to change password". Why has it changed?

専門家「必ずしも、まったく変えないほうがいいという訳ではないですが、そんなに効果がないというのが正確です。アルファベットの小文字・大文字・数字を組み合わせ、複雑なパスワードにすれば、たとえば8桁の英数字合計36種類で、約2兆8000億通りの組み合わせになります。物理的に総当たりでパスワードを突破することは不可能に近くなります。パスワードを何度も変更すると、家で使っているパスワードを会社でも使い回したりして、逆に突破されるリスクが高まることも考えられます。企業であれば、情報システム担当者が対策をとることができますが、自宅でマルウェア(悪意を持って作成されたソフトウェア)化したソフト『キーロガー』に感染していた場合、キーボード操作をすべて読み取られ、特定の文字列が繰り返し使われることから、IDやパスワードが読み取られることもあります。『パスワードリスト攻撃』といって、そうした個人もしくは企業から漏えいしたIDとパスワードのリストを使って不正アクセスが行われるケースもあります」

That is to say, it is important to combine lowercase letters, uppercase letters, and numbers to make passwords with more than a few digits and use them separately according to their purpose. However, it is difficult not to memorize it in your notes.

専門家「全部を記憶することは現実問題として難しいですね。ただ、パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりすることはもちろんですが、パスワードをパソコン内にテキストなどで保存しておくことも問題です。それよりは手帳にメモ書きして、絶対に他人の目に触れない場所に置いたり、施錠できる場所に保管したりするだけでも十分です。ただ、今回の投稿者への回答にあった通り、パスワードに頼らずに生体認証やICカードを利用することやワンタイムキーなどの二段階認証を導入したほうがセキュリティは向上しますが、相応のコストはかかりますね。有名なIDとパスワードを管理する無料のソフトで『ID Manager(高木健一/WoodenSoldier)』があります。これは暗号化して保存しますし、長く複雑なパスワードや多くのパスワードを管理しなければならない場合でも管理できますから、安心です。オススメで、私も使っています」