ども。
今日で1年の半分が終わりますが、今年の抱負は達成できそうにない見通しとなっている担当ちゅんです。
先日、インターネットのニュースサイトで、興味深いニュースを拝見しました。
Yahoo!ニュース:
「パスワードの定期変更はすべきでない」米研究機関がセキュリティ対策関連の文書で明言
http://news.yahoo.co.jp/pickup/6205786
上記によると、定期的にパスワードの変更を促したところで、結局は元々のパスワードに数字を1文字加えるとか、その程度の変更に留まるので無意味ということのようです。
実を言うと、私自身も先日、このパスワード定期変更に失敗した人間です。とあるクラウドシステムの保守管理をしていて、パスワードが変更されていることを失念し、変更前に使用していたパスワードを立て続けに3回入力して失敗、最終的にはサービスが「不正アクセス疑い」としてロックされ、これの解除に1週間以上の日数を要したという案件でした。この案件でも、結局はパスワードの文字列の一部が変更されていて、そのことが関係者内部で周知されていなかったことが原因でした。
こうなると、結局は「パスワードはあくまで一要素」という考え方が正しく、本当にセキュリティを確保したいのであれば、パスワード+もう一要素(生体認証など)を組み合わせる「二要素認証」を実施すべきなんだろうと思います。
さて、そんな中。とある業務用PCが保守のため「入院」してきたのですが、そのPCを見てびっくりです。まさにパスワードの概念そのものを無に帰す暴挙(文末画像参照)。セキュリティポリシー違反なのは言うまでもありません。
でも、逆に言えばその部署ではパスワードでの認証は不向き(複数人でシステムを共有していて、パスワードを変更した場合は他の人がログインできなくなる等)であり、本来であればUSBトークンなど別な方法でのログイン処理が向いているのかもしれません。単純に、パスワードをメモしていることを責められない事情というものも考慮しなければならないと感じます。
ユーザー側に負担がかかりづらい仕組みを構築しなければ、セキュリティ対策など「絵に描いた餅」ということなのでしょう。
どの部署のパソコンか、持ち主ならすぐに気がついてしまう写真です。
(投稿者:ちゅん)
