▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲
11110001
0100011001000001
001100110000100100101001
01110001010110010100000110010011
Project SEVEN
0100100110110001000100011100101101000001
100111010100000101100111100000010100001010110001
10011011010000011101010101000001001100111100100101011111
0100000110110011110100011111101101000001010001011000000101000010
▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲▽▲


==================================
┘┛┛┛┘
┘┘┛┘┘     パスワードの選び方
┘┛┘┘┘
==================================
よくセキュリティ関係の記事なんかを見ると「パスワードは予測されにくい
ものを選びなさい」とか「定期的に変えなさい」なんてことが書いてある。
確かにその方が良いのだが、ここでもうひとつ頭に入れておかなければなら
ない。
それは
「セキュリティと利便性は反比例する」
ということだ。

「絶対開かない金庫は作れる。しかし、その場合鍵をなくしたら中の財宝は
2度と取り出せない」
そんな話を聞いたこともあるが、パスワードにも似たことが言える。

例えば、あまりセキュリティを考えていないシステムのパスワードといえば
大体a****かp*******かr***か・・・と相場が決まっている。
まあ3、4回試せば入れてしまうので、セキュリティはないに等しい。
しかし、
「玄関前の植木鉢の下に鍵を入れておく」
のと同様利便性という意味ではこれは大変ありがたく、システム管理者が突
然会社を休んだりした時には助かったりするのである。

先日も以前仕事を手伝っていた某社の社員から電話がかかってきた。
ルータの設定変更をしたいのだが、社員が入れ替わって誰もパスワードが分
からなくなってしまったと言う。
設定した本人を探し出して電話したが、一年以上たつので当人も忘れている。
で、上記の通りいくつか試してもらったところ、無事ログインすることがで
きた。
これがヘボイパスワードでなかったら大変である。
いったん出荷状態にクリアして、全部設定をやり直さなくてはならない。

セキュリティを強化するために、サーバ側でパスワードの規約を厳しく設定
しているところもある。
私の使っている某システムでは恐ろしく厳しい規約を設けている。
まずパスワードは8文字。それ以上でも以下でもいけない。8文字ぴったり。
この時点でパスワードの範囲がかなり限定されてしまう。
更に英字と数字を混在させなければいけない。
月に一度、変更しなければならない。
前回3回までと類似したパスワードをつけてはならない。
となると、覚えやすいパスワードをつけるのは殆ど不可能である。
それでも毎日使っていれば自然に覚えてしまうだろうが、システムの使用頻
度も少ない。
もちろんそれ以外にも、電話の発番号やらFTPとHTTPの2重3重チェッ
クやらとんでもなく堅いガードが施されている。

案の定、先日困ったことが起きた。
パスワードの期限が切れたのだが、旧パスワードを忘れてしまって変更でき
なくなってしまったのだ。
幸い「パスワードを保存する」にチェックしていたので、ちょっと怪しげな
ツールを探してきてクライアントからパスワードを抜くことができた。
本来、パスワードを記憶させるのはセキュリティ上明らかに宜しくないのだ
が、この場合は助かった。
何が哀しくて自分のパスワードをクラックしなきゃいけないんだろうか?
と空しくなったりしたが。

ところが数日後、隣席の先輩から相談を受けた。
メーラーにパスワードを記憶させていたため、メールサーバのパスワードを
忘れてしまったというのだ。
しかし、パスワードがクライアントに残っていたため、こちらも前回自分が
試していた方法で簡単に復元できた。
やはりセキュリティと利便性は反比例するようである。

まあ上記の例ではシステム管理者に頭を下げれば新しいパスワードを発行し
てくれるかもしれないが、深刻なのはやはり管理者のパスワードや、暗号化
したファイルのパスワードが失われてしまった場合だろう。
誰もクラックできないとデータが永久に失われてしまう可能性だってあるの
だ。

だからセキュリティポリシーに、「一番大切なデータを格納する際は、クラッ
クできる余地を残しておくこと」と追加・・・なんてしたら怒られるかな?

                            了
==================================
そういや、暗号化されたファイルを管理してた人が亡くなっちゃって、なん
とか復元してくれ!
と世界中のハッカーに呼びかけた事件もありましたね〜。
 →死者だけが知るパスワード
==================================

<前へ  目次へ戻る  次へ>