Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

パスワード管理を少し考えてみた。

朝日新聞の11月24日記事を見て、管理者パスワード管理を改めて考えてみました。

www.asahi.com

 

事件自体は、大分の消防士が副署長のパスワードを盗み見て、職員用メールをのぞき見し、10月1日付の人事情報を9月25日の内示日より前に不正に閲覧した。いわゆるメール不正閲覧の事件です。

事件が発覚したのは、副署長パスワードを教えていたその他の職員5人の内1人が、人事情報を誤って消防局総務課の職員に転送したためとあります。恐らくこれが無ければ、飲み屋で上長から内密に聞いた・・・程度で誤魔化せたのではないかと思いますが、、、転送ミス(グループに総務課の職員が入っていたのではないかと推測しますが)で処分を受ける事になったのは、何ともいまどきの内部犯行事件らしいところです。

では、何故、最初の副署長のパスワードが漏れたか、、という部分については、記事によれば、

 消防士は以前、副署長の手帳からパスワードを盗み見て記録していた。

 とありました。副署長と署長も監督責任を問われて戒告処分となっていますので、パスワード管理不備が招いた事件であるといえそうです。

 

パスワードを付箋紙でPC端末に貼っておく・・・といった事件ではないのですが、手帳にパスワードを書いておく際には、例えば一部を抜いて記録しておくことをお勧めしています。

管理したいパスワードが例えば Fox#9999 だとします 

これを手帳に書く際には、自分が覚えやすい(頭で覚えておける)ルールとして例えば#を抜くと決めて、手帳には、

Fox9999 と書いておきます。

 これを盗み見る人が居たとして、頭の中で覚えている#までは再現できません(すぐには気づかれない)ので、(比較的)パスワードが守られた状態をつくることができます。すべてのパスワードを手帳に書いていたから、パスワード流出という事になったのです。役職が上の方ですと、パスワード管理ソフトを使って・・・という極めて現実的な管理法は苦手の方も多いかもしれません。そんな際は、手帳での管理にも一工夫されると良いのではないでしょうか。

他にもパスワード強度を高める方法としては・・・

Fox9x4 (#を抜いて9999を9x4と記載) 

#9999  (頭のFoxを秘匿情報として覚えておく)

といった方法もあるかと思います。他にもパスワード管理や生成法については書きたいところですが、長くなりそうなので、また機会があればご紹介させて頂きます。

 

 

 パスワードを忘れた人のイラスト(スマホ)