新・闘わないプログラマ No.192

パスワード


以前にもパスワードについてはいろいろ書いたような気がするのですけど、その後も自分で管理しておかないといけないパスワードは加速的に増えていて、もう何がなんだか分からないような状態になってきていたりします。
家の中だけをざっと見渡しただけでも、

なんてのがありますし、プロバイダ接続には、PPP接続のIDとパスワード、とPOP接続のIDとパスワードなんてのが、契約プロバイダ数分だけありますし、通信販売や、web上で何らかの会員になったりすると、そのIDとパスワードが必要になったりします。まあ、あと昔からあるのでは、銀行のキャッシュカードの類の暗証番号。
その上職場に行ったら職場に行ったで、自PCにログインするためのパスワード(Windows NT)やら、NoteサーバやPOPやらをはじめ、UNIXやらWindowsNT/2000やらルータやらOracleやらSQL Serverやらのパスワード、とまあいろいろあって、あまり使わないやつなど、咄嗟には出てこないことも多いわけで、それでもって忘れてしまっていると仕事が出来ないわけでして…。
特に困るのが、平日は本番稼動中なため休日に出勤してきて、機器の設定を変更しようとしたけれど、パスワードが分からない、パスワードを知っていそうな人間は出勤していないし、電話してみてもつかまらない、ってな場合ですね。わざわざ休みの日に出てきたのに、パスワードが分からなくて、結局何も出来ずに帰ったり、なんてことも1度や2度じゃなかったりします ←事前に調べてなかったテメーが悪いんじゃんか。

さて、仕事で使う機器などのパスワードの話はとりあえず置いておいて、個人的に必要になるパスワード、これをどうやって選ぶか、というのは結構悩ましい問題ですよね。
「パスワードを覚えておく、または、覚えておける」という観点からは出来るだけパスワードを統一したいわけです。でも、なかなかそうも行かない、というのが実情かも知れません。統一しておくと、その(統一)パスワードが漏れちゃっただけで、自分に関する全てのセキュリティが突破されてしまう、ってことにもなりかねません。少なくとも、UNIXやWindows 2000のroot/Administratorのパスワードと、通常使う一般ユーザのパスワードは違えて置かないとまずいだろう、と。
あと、セキュリティ情報が漏れやすそうなサイト(通信販売系のサイトの顧客情報なんか、よく漏れていて騒ぎになりますよね)にメンバー登録をする場合なんかは、捨てパスワード(?)にしてお置かないと、漏れたときに大変。こういうサイトのメンバー登録をする場合に、銀行のキャッシュカードの暗証番号と同じパスワード、なんてのはかなり危険な行為かもしれません。

パスワードを統一しようとした場合、あと問題になるのが、システム毎に、パスワードに許される文字種(数字、英字、記号)の違いや、許される長さの違い、あと、もっと細かい制限(数字と英字の両方を含まないといけない、とか、英字は最低3文字で記号も含む、とか)や、定期的にパスワードを変更しないといけなくて、しかも前回と同じ(似ている)ものはダメとか、そういうのもありますね。これなんか、もうややこしいことこの上ないし、その上、何度かパスワードを間違えると、そのアカウントがロックされてしまって使えなくなってしまう、なんてのもあったりします。
確かに破られたときのことを考えると、あまり単純なパスワードはダメ、ってのは分からないでもないですけど、システム毎に、こういう制限が異なっていると、結果的にパスワードを統一できなくなって、結局頭では覚えきれない状況に陥り(←今の私)、で、どうなるかというと、手帳にパスワードを書いておく、とか、ディスプレイにパスワードを書いた付箋紙を貼っておく、なんて本末転倒な話にもなったりするわけです。
とりあえず私の場合、現状ではどうしているか、というと、結局は表にして取っておいてあります。と言っても、パスワードを直接は書いていなくて、パスワードのパターンを数種類用意しておいて、そのパターンに番号を付けて、その番号を記述しておいています。パスワードと番号の対応付けは頭の中にあるだけ、ということで。で、それをフロッピーに入れて持ち歩いていたりするのですけど、これってセキュリティ的にはどうなんでしょ。
まあ、とにかくそうでもしておかないと、もうとても覚えきれない、というのが現状ですね。

と言うわけなので、パスワード認証をやっているようなシステムを作っている人にお願い。パスワードに許される表現(文字種とか)はせめて業界全体(って、どこの業界かって話はありますが)で統一して下さい。
あ、でもその統一基準が、「パスワードは16文字固定、英小文字を最低5文字、英大文字を最低4文字、数字を最低3文字含んで、辞書に載ってそうな単語は禁止、1週間に1回は必ず変更すること、前10回分のパスワードと同じもの、もしくは似ているものは禁止、パスワードを3回打ち間違ったらアカウントはロックされる」とかいうようなややこしいの止めてね。

[前へ] [次へ]

[Home] [戻る]


mailto:lepton@amy.hi-ho.ne.jp