新・闘わないプログラマ No.423

パスワードがいっぱい


あるシステムのパスワードのポリシーが「セキュリティ強化のため」という名目で変更になりました。新しいポリシーは、

いや、まだあるんですけど、いろいろと差し障りがあるのでやめておきます。あ、上のポリシーも表現はそれなりに変えてあります(これもどこかに差し障りがあったりするかも知れませんので)。これを、システム的に独自に作りこんでいるらしいのですが、開発に半年以上かかかったそうです。
「これでセキュリティ的には最高のものができた」と作ったところはご満悦だったらしいのですが、なんでもややこしくすればいいってもんじゃないと思うんですけどね。私の場合、このパスワードを1個だけじゃなくて3個も設定する必要がありまして(用途に応じて3個のアカウントを使い分けている)、いやもう、何といいますか、覚えてられません。こんなの「紙に書き留め」ておくしか覚えておく手段はなさそうな感じです。でも、それがバレると「アカウントを永久停止」みたいですけど。
だいたい、「パスワードは8文字」と、あたかも8文字のパスワードを設定できるような言い方していますが、「英字を少なくとも4文字、数字を少なくとも3文字、記号を少なくとも2文字」という条件は9文字以上でないと満たされないような気もするのですが、気のせいでしょうか。なんというか「とりあえず複雑にしておけばセキュリティ関係の監査で突っ込まれることも無いだろう」という意図がありあり。だいたい、そこまでして護らないといけないようなシステムでもないような気がしないでもないような……。

で、ややこしいパスワードを要求するのはいいのですが(←いいのかよ?)、それよりなにより、最大の問題点は「他人のアカウントのパスワードと一致したパスワードは設定できない」ってとこ。なんでこんな制限が必要なのか理解に苦しみます。作ったところの主張では、

「何人もの人(アカウント)で共通のパスワードが設定されていると、1個パスワードがもれただけで、多くのアカウントを使えてしまうから、それだけセキュリティ上の弱点になる」

ってことらしいのですが、やっぱり意味不明です。仮に私がパスワードを設定しようとして、「他アカウントのパスワードと一致していますから、このパスワードは設定できません」なんてメッセージが出たら(いや、そういうメッセージが出るかどうかまだ試してないので不明ですが、設定できない理由は表示されたはず)、そりゃやばいでしょ。誰かがそのパスワードを使っていることがバレてしまいます。もちろん、誰がそのパスワードを使っているかはわからない(はず)ですが、そのパスワードを使って、アカウント総当りでログインしてみれば、そのうちヒットします。
アカウントのロックアウトは、同一アカウントに対してパスワードを3回間違えた場合に発動されるので「同一アカウント・パスワード総当り」攻撃には有効ですが、「アカウント総当り・同一パスワード」攻撃では有効ではありません。
そんなわけで、何を考えて設計したのかやっぱり謎です。

[前へ] [次へ]

[Home] [戻る]


mailto:lepton@amy.hi-ho.ne.jp