Web教材一覧情報倫理・セキュリティ

パスワードの管理

キーワード

パスワード管理者、パスワードの付与、パスワードの再発行


システム管理者といえども、利用者のパスワードを知るべきではありません。

パスワードの付与
最初にシステム管理者が利用者に仮パスワードを付与するときは、上記の「よいパスワード」になるようなランダムな文字列を与えて、利用者が最初にアクセスするときに、自分でパスワードを設定させます。
パスワードの変更
利用者は、できるだけ頻繁にパスワードを変更するべきです。また、一定期間あるいは一定アクセス回数のたびに、強制的にパスワードを変更させる仕組み、8文字以上とか文字種混在の条件を満たさないと受け入れない仕組みなどが必要です。
パスワードの変更
パスワードは本人以外は知るべきではありません。システム管理者も同様です。本人がパスワードを失念したときは、まず、そのユーザIDでの利用を禁止し、改めてユーザID(同じでもよい)とパスワードを再発行するようにします。
パスワード記録の禁止
パスワードを書いた付箋をパソコンに貼るのは論外。手帳に書くのも落としたとき困ります。特に重要なのが、パソコンの紛失・盗難・廃棄への考慮です。パソコンにパスワードを残さないために、「パスワードを記憶する」にせず、毎回入力させるようにします。

カードのパスワード

キャッシュカードやクレジットカードなどでは、パスワードのことを暗証番号あるいはPIN(Personal Identification Number)といいます。この場合は、上述した事項以外に留意すべきことがあります。

PINの送付
カードとPINを同封して送付すると、第三者に利用される危険性があります。それを避けるために別便で送る必要があります。状況が許すならば、カードは郵送、PINは電子メールのように別手段にするのが最善です。
ユーザPINとアドミンPIN
ユーザPINとは、カードを利用するときに使うPINです。これまでに述べたPINやパスワードは、すべてユーザPINを対象にしています。
アドミンPINとは、何らかの理由でカードが読めなくなる(ロックする)ような場合に、管理者がロックを解除するために使うPINです(ユーザPINは管理者すら知らないのですから使えません)。アドミンPINは、カード発行時に管理者が設定したものをそのまま使うケースと、それを利用者が再設定して管理者に伝えるケース(再変更はできないのが通常)があります。

本シリーズの目次へ