ユーザＩＤ、パスワードの管理

パスワードの管理

企業におけるユーザＩＤ管理での留意事項を列挙します。

システム管理者といえども、利用者のパスワードを知るべきではありません。

パスワードの付与

最初にシステム管理者が利用者に仮パスワードを付与するときは、上記の「よいパスワード」になるようなランダムな文字列を与えて、利用者が最初にアクセスするときに、自分でパスワードを設定させます。

パスワードの変更

利用者は、できるだけ頻繁にパスワードを変更するべきです。また、一定期間あるいは一定アクセス回数のたびに、強制的にパスワードを変更させる仕組み、８文字以上とか文字種混在の条件を満たさないと受け入れない仕組みなどが必要です。

パスワードの再発行

パスワードは本人以外は知るべきではありません。システム管理者も同様です。本人がパスワードを失念したときは、まず、そのユーザＩＤでの利用を禁止し、改めてユーザＩＤ（同じでもよい）とパスワードを再発行するようにします。

パスワード記録の禁止

パスワードを書いた付箋をパソコンに貼るのは論外。手帳に書くのも落としたとき困ります。特に重要なのが、パソコンの紛失・盗難・廃棄への考慮です。パソコンにパスワードを残さないために、「パスワードを記憶する」にせず、毎回入力させるようにします。

カードのパスワード

キャッシュカードやクレジットカードなどでは、パスワードのことを暗証番号あるいはＰＩＮ（Personal Identification Number）といいます（ＰＩＮコードは、スマートフォンでの所有者を示す暗号番号やWindows10などでパスワードの代わりに使う暗号番号がありますが、ここではカードでの４桁のパスワードに限定します）。この場合は、上述した事項以外に留意すべきことがあります。

ＰＩＮの送付

カードとＰＩＮを同封して送付すると、第三者に利用される危険性があります。それを避けるために別便で送る必要があります。状況が許すならば、カードは郵送、ＰＩＮは電子メールのように別手段にするのが最善です。

ユーザＰＩＮとアドミンＰＩＮ

ユーザＰＩＮとは、カードを利用するときに使うＰＩＮです。これまでに述べたＰＩＮやパスワードは、すべてユーザＰＩＮを対象にしています。
アドミンＰＩＮとは、何らかの理由でカードが読めなくなる（ロックする）ような場合に、管理者がロックを解除するために使うＰＩＮです（ユーザＰＩＮは管理者すら知らないのですから使えません）。アドミンＰＩＮは、カード発行時に管理者が設定したものをそのまま使うケースと、それを利用者が再設定して管理者に伝えるケース（再変更はできないのが通常）があります。

ユーザＩＤ管理

企業におけるユーザＩＤ管理での留意事項を列挙します。

ユーザＩＤとは、利用者識別番号のことです。社員番号をユーザＩＤにしていることもあります。メールアドレスにユーザＩＤを用いていることもあります。
　共通にするか別途にするかは、利便性、管理面、セキュリティ面などから検討すべきですし、別途にしたとき、どのような場合にどれを用いるかも重要なことになります。

パスワードと比較して、ユーザＩＤは極度な秘匿はできません。

しかし、悪意のある第三者にユーザＩＤが漏洩すると、なりすましをされる危険性が増大します。パスワードを併用するとはいえ、ユーザＩＤを知られることにより、パスワード盗取の攻撃が容易になります。ユーザＩＤも（程度の差はありますが）秘密のするべきです。
　不正アクセス禁止法でも、パスワードと同様に、ユーザＩＤの盗取や第三者への漏洩を禁じています。
　ユーザＩＤ管理はパスワード管理と統合したポリシーの下で統合管理をする必要があります。

ユーザＩＤはシステム全体に関係するので、管理者が設定するのが適切です。また、その変更では影響を考慮する必要があり、パスワードのような廃棄・再発行が不適切なこともあります。

ユーザＩＤは一元管理する必要があります。個々のアプリケーションでユーザＩＤを記述するのではなく、一元管理しているデータベースを参照する方式にすること、そのデータベースでは暗号化しておき、特定の復号ツールを介して利用するなどの工夫も考えられます。