単純なパスワード

IBMのパスワードに対するポリシーのページを紹介しておきます。 http://www.zdnet.co.jp/news/0208/09/nj00_ibm_security.html 現実的な運用について考えさせられる点が多いです。 特に 「パスワードの変更は、必ずしも定期的に変更する必要はない」 「あまりにセキュリティに神経を使いすぎて、業務自体に支障をきたすようなことはあってはならない。」 というのが私にとって、新鮮でした。 >乱数（英？）にすると覚えるのがつらいと思いますし・・・ しかしながら、 辞書に載っている単語は避ける。 ローマ字も避ける。 英語と数字、記号を混ぜる。 さらに大文字、小文字の両方を使う というのが良いと思います。 この条件を満たしていて、覚えやすい方法の一例を紹介しておきます。 たとえば、自分のペットのポチをパスワードに使いたい場合、 pochiというパスワードではあまりにも単純なので、 My　Dog　Is　Pochi. という言葉から、 mdiP/2325 という暗号を作るのはいかがでしょうか。 /の後は、各々の単語の文字数です。 （英語の文がおかしいのは勘弁してください。）

さる会社で、システム管理をしていたものですが、 Windows系サーバのパスワードは、 2ヶ月に一度定期的に更新していましたが、 proxy（RedHat）、DHCP（それ専用のOS？）、ルータ（CISCO)の非Windows系のOSは、 あまりやってませんでした。 パスワードは、だいたいギャグ・語呂合わせに走ってました。 パスワード変更は非常に面倒で、 あるバックアップソフトが入っているせいで ひとつのサーバにつき、10ヶ所以上、新しいパスワードを入力しなければなりませんでした。 そのソフト製作会社にもっと簡単にパスワードを変更する手順が無いか聞きましたが、 ないという返事だったので、察するに 1.一般社会では、それほど頻繁にパスワードを変更しないので、 もっと簡単にして欲しいという要望がない。 2.そのソフトを使っている会社は、 サーバを少数しかいれていないため、それほど手間ではない。 のかもしれません。 以上、私の体験談ですが、参考になりましたか？

>アトランダム ってなんですか？ これぐらい、辞書引けば載ってますよ!!!

こんばんは 学校（会社）内、だけで情報共有する際（ローカル）は 結構、生徒番号や社員番号が用いられているようです。 それは、学校（会社）で、生徒（社員）の利用管理を しないと個人で無法に利用されてしまうからです。 （ひとつに、いざという時にアクセスできないといけない からです。） 本格的にセキュリティを固めるのは大変ですよ。 （それでもやらないといけないのですが。）

インターネットへの接続状況、ネットワーク利用者の質、サーバーで稼動しているサービスの種類、会社のセキュリティーポリシーなど色々な要素が絡み合う問題なので… 当該サーバーのインターネット接続が無く、社外の人間の出入りが無く、社内の全員でシステム管理しているような状況（小さなソフトハウスでは良くあります）ならパスワードなんて無くてもかまいません。 インターネット接続があって、顧客情報などの重要データを管理するデータベースサーバーで、システム管理グループがしっかりしている場合は複雑なパスワードを定期的に変更しながら使います。

昔、ハッカーとの戦いを記した本を読んだ事がありますが、 セキュリティ破りの盲点は、 「パスワードを初期値から変更しない」 「パスワードとしていかにもありそうな単語を使う」 という、ごく初歩的なところにあるそうです。 当たり前というより、面倒くさがりが多い、ということなんでしょう。 また、その中でパスワード破りの手法の一つとして、 「辞書にある単語を片っ端から試す」(実際にはコンピュータにやらせるわけだが) ってのがあります。 これを防ぐために、辞書に見出し語として出てこない言葉を パスワードにする、という手がありました。 (たとえば、マンガのキャラ名とか、簡単な文章とか) アトランダムな文字列よりは判りやすいでしょうね。 でも、厳密にやるにはやっぱり、 アトランダムな文字列を、定期的に更新させることらしいですね。 ただ、この方法の弱点は、パスワードを記した紙切れを 端末に貼り付ける無精モノがいたらアウト、ってことですが、 ネットワークを通じて入ってくるハッカーには有効です。 あ、でもパスワードをメールで配信するとやっぱり危ないな(笑)。

手短に簡単に覚え易いパスワードにしているのは、授業だからでしょうね 最も、セキュリティに関する認識の甘い人は、簡単なパスワードを付ける事もあるようですが ちゃんと認識していれば、解読不能とは言いませんが、連想程度では解読できないパスワードを設ける筈です