セキュリティ、ここがクソ！

[セキュリティ周りいやなこと] ・yas-nyan ・社内システムがくそ. VPN繋がないと見れない. だるい. ・kanaya BBタワーがくそ. アルバイトチャンネルしかみれず, そこ以外の会話がみれず, そこでの会話前提で色々進むの困る. ・太田さん WIDE HPがきらい. mocaだるい. 大事じゃないとこも認証求められてだるい. 認証しなきゃいけないのであれば, 初心者にも優しい認証がほしい. 全部の情報, 認証する必要がある? いろんなデバイスそれぞれに証明書入れるのはだるい・fumi 社用パソコンに好きなソフト入れられない. ソフト入れるのに審査に7営業日くらいかかる. ・watal 社内PCのPW変更, 月イチでやらされてだるいこれに意味がないというのはNISTのレポートで出てた(?) ・広島市立大のひと大学でもPW定期更新があり, どんどん覚えにくいやつに変えていく羽目に・wokashiさんの右のおじさん鍵が証明書, 期限短いの困る. 鍵更新だるい. 古い鍵で暗号化したのを今の鍵では空けあっれないとか. 鍵に期限をつけるのめんどくさい. それでどれくらいセキュアになるのかって誰も言ってくれない・fumi PPAP パスワードがメールのタイトルになっていたり? ・zigen なんとかストライクというセキュリティのソフトがあり, ファイル検査にメモリを60GB食い, 研究が進まないときとかある・haaybusa 電話番号で認証 SMS2段階認証がきらいデータ専用SIMしか持っていない人は受け取れなくて困るね・watal SMS, コードくるまで緊張するね・zigen PWに変な記号の制限掛けてるやつ, パスマネ使えなくて困る・chike サーバー内のパーサとフロントのパーサが違って困る?ことがあった・wokashiさんの右のおじさん PW長さに制限掛けてるやつ困る・yas-nyan PWの難しさのガイドラインとかってあるの・korry先生 NISTがなんか出しているよ・yas-nyan PWよくないよね, だからといって鍵になっても困るけど・chike マイナンバーカードとか番号がなんか色々あってこまる藤沢市役所は設定をするときに, 市役所職員に見れちゃうのなんだあれ自分がある程度techわかる人だからおかしいと言えたけど, ・fumi 運転免許証のPW, 忘れると平文で教えてもらうことにパスワード読み上げられたり・collodi 大学メール?でIMTPプロトコルをもうサポートしないと言われ, WEBメールに一本化されてこまった → 大学辞めた ===== まとめ ==== mocaの認証だるい認証を書けるべき情報, かけなくてもいい情報があるのでは鍵管理めんどくさい PWに長さや記号の制限掛けられるとパスマネ周りで困る =========== # セキュリティ、ここがクソ！ note by: hayabusa, kekeho ## Topic * moca等の鍵認証、鍵の管理は非常にめんどくさい * 認証をかけなくてもよい情報とかけるべき情報を精査すべきなのでは * パスワードに変な制限をかけたり更新を強制したりするとパスワードマネージャ周りで困ることがある * SMSはデータSIMの人が困ったりなかなか来なくて困ったりする * 公共機関はPWの扱いがセキュリティの視点からするとずさん、複数パスワードを要求されると同じPWでまとめてしまったりするので逆効果 * セキュリティは私達が技術畑なこともあり、真面目にやってほしいが、めんどくさいことは避けたい... ## 議事録 ### yas-nyan * 社内システムがクソ * グローバルタワー * 社内システムがVPN繋がないと見えない、そういうところがだるい ### kanaya * bbtowerがクソ * アルバイトチャンネルしか見れない、他チャンネルが見られない * 見られないチャンネルでの会話を前提として色々進むので困る！ ### 女性の方 * wideのホームページが嫌い * mocaだるい * 大事なところを隠すのが嫌いなのはわかるが情報にたどり着くのに時間がかかりすぎる * 初心者に優しい認証 * 認証が必要なところは必要なところ、いらないところはいらないところで（全部の情報を認証する必要はないのでは？） * スマホとか、複数端末とか、端末を変えたときに証明書を入れるのがつらい！ ### fumi * 社用PCに好きなソフト入れられない * 7営業日ぐらいかかる（審査） ### watal * 社内PCの月イチPW変更 * これに意味がないという話はNISTのレポートで出てたらしい * 社内のしがらみ * 1ヶ月で変更なのにあと10日とかで通知出るのでずっと出る * 情報漏えい対策らしい、言っても治らない ### 横尾さん * 大学、PW定期更新あり * だんだん覚えやすい簡単なものになっていく ### ? * そのうち2つのPWを往復するように ### wokashiさんの右の方 * 鍵の有効期限（証明書） * Webの証明書が期限短い！誰だ1年とかに強制してるのは * 鍵を更新すると前の鍵で暗号化したファイル等を開けなくなってしまう * 証明書に期限をつけることが気に食わない、一体どれだけそれによってセキュアになるのか説明しろ ### fumi * PPAP * メールのタイトルがPW ### zigen * なんとかストライク、セキュリティソフト * 検査のために大量にメモリを食う（60GBとか言うレベル）、まともに動かなくなる ### hayabusa * SMS2段階認証認証がすごくきらい * データ専用SIMの人は困るぞ！ ### watal * SMS、コード来るまで緊張する ### ? * コードが来ない * 届いたとき勝手に届くのは神 ### zigen * パスワードの条件が厳しい（変な条件がある）とPWマネでつらい ### chike * 特定の文字を使用した際サーバー内のパーサとフロントのパーサが違ってログインができなくなることがあった ### Wokashiさんの隣の方 * PWの長さ制限困る！ ### yas-nyan * パスワードのcomplexityのガイドラインはあるの？ ### korry * NISTがなんか出してたそう * パスワード使うな * だからといって鍵(moca?)も困る ### chike * マイナカードの暗証番号が種類多すぎ * 全部同じのにした * 藤沢市役所は設定をするときに, 市役所職員に見れちゃうのなんだあれ * 自分がある程度techわかる人だからおかしいと言えたけど... ### fumi * 免許書のPW平文で書かれた * 運転免許証のPW, 忘れると平文で教えてもらうことに * パスワード読み上げられた * 手書きの数字が間違ってないか確認するため？ * 前の大学、セキュリティのためにWebMailしか使えなくした * =>大学やめた * IMAPなんか今誰も使っとらんやろ！ｗ ### chike * セキュリティ畑の人間ではあり、厳密にやってほしいが、めんどくさい