パスワードの管理

システム管理者といえども、利用者のパスワードを知るべきではありません。

パスワードの付与

最初にシステム管理者が利用者に仮パスワードを付与するときは、上記の「よいパスワード」になるようなランダムな文字列を与えて、利用者が最初にアクセスするときに、自分でパスワードを設定させます。

パスワードの変更

利用者は、できるだけ頻繁にパスワードを変更するべきです。また、一定期間あるいは一定アクセス回数のたびに、強制的にパスワードを変更させる仕組み、８文字以上とか文字種混在の条件を満たさないと受け入れない仕組みなどが必要です。

パスワードの変更

パスワードは本人以外は知るべきではありません。システム管理者も同様です。本人がパスワードを失念したときは、まず、そのユーザＩＤでの利用を禁止し、改めてユーザＩＤ（同じでもよい）とパスワードを再発行するようにします。

パスワード記録の禁止

パスワードを書いた付箋をパソコンに貼るのは論外。手帳に書くのも落としたとき困ります。特に重要なのが、パソコンの紛失・盗難・廃棄への考慮です。パソコンにパスワードを残さないために、「パスワードを記憶する」にせず、毎回入力させるようにします。

カードのパスワード

キャッシュカードやクレジットカードなどでは、パスワードのことを暗証番号あるいはＰＩＮ（Personal Identification Number）といいます。この場合は、上述した事項以外に留意すべきことがあります。

ＰＩＮの送付

カードとＰＩＮを同封して送付すると、第三者に利用される危険性があります。それを避けるために別便で送る必要があります。状況が許すならば、カードは郵送、ＰＩＮは電子メールのように別手段にするのが最善です。

ユーザＰＩＮとアドミンＰＩＮ

ユーザＰＩＮとは、カードを利用するときに使うＰＩＮです。これまでに述べたＰＩＮやパスワードは、すべてユーザＰＩＮを対象にしています。
アドミンＰＩＮとは、何らかの理由でカードが読めなくなる（ロックする）ような場合に、管理者がロックを解除するために使うＰＩＮです（ユーザＰＩＮは管理者すら知らないのですから使えません）。アドミンＰＩＮは、カード発行時に管理者が設定したものをそのまま使うケースと、それを利用者が再設定して管理者に伝えるケース（再変更はできないのが通常）があります。