パスワードを「記録する」こと

yukimatsu
幸松 哲也 記事一覧
Posted in パスワード,

ISMS/ISO27001を取得している企業ではシステムにログインする際やPCの起動の際などにIDとパスワードを入れている会社が多いです。

私はよくコンサルを行う前に現場の人に「お仕事で普段よく使われるパスワードは何種類ぐらいありますか?」と質問することがあります。

だいたい3~5個という答えをもらう時が多いです。
たまに10個以上というツワモノの方もいます。
「どうやってそんなに覚えているのですか?」と聞くと、それぞれに色んな工夫をされています。

私はよくその後に「同じパスワードは使ってますか?」と聞きますが意外と「使っている」と答える人は多いです。

また、「仕事では使っていませんがプライベートで使っているオンラインバンキングやカードのパスワードは同じです」と言ってくれる人もいます。

いやいやパスワードの使い回しに本当に危険です。

参考までにIPAが推奨するパスワード保護の方法では、まずパスワードを作成する際に、名前や辞書に載っているような単語を避け英字(大文字、小文字)・数字・記号など使用できる文字種すべてを組み合わせ8文字以上にする。複数のオンラインサービスを利用している場合は、同じパスワードを使い回しせず、異なるパスワードを使う同じパスワードを長期間使用せず、変更することなどを挙げています。

IPAの推奨する方法を実施していくと「覚える」ことが難しくなると思います。
パスワードは忘れてしまっては元も子もありません(初期化が出来るのは別途必要ですが)。

私がよくお奨めする方法は、どこか別の場所で記録することです。
手帳でも良いですし、エクセルファイル等でも良いと思います。

ただ、記録した情報については厳重な管理が必要となってきます。
手帳等の紙で記録する場合は、他人が見ても分からない状況にしておきましょう。しっかりした人ほど手帳に丁寧に「サイトURL、ID、パスワード」とセットで分かり易く記載しています。
これだと手帳を見た人に直ぐにサイトに侵入されてしまいますので、URL,ID,パスワードをセットで記載しないことや、パスワードは右から左の逆で記載する等の工夫が必要です。

エクセルやパスワード管理ファイルで管理する場合でもURLは出来たら記載しないことや、IDが忘れる可能性が低いのであればIDを記載しないことがあると思います。
また、パスワード管理ファイルやエクセルには厳重なパスワードを掛けることは必須です。

もちろん、上記のような方法は「禁止」となっている会社もあります。
パスワードは記録してはいけないというルールの会社もありますのでその会社では上記の方法は使えません。

しかしパスワードを「覚えれる」ために安易な文字列にしたり、複数のパスワードを使い回すことよりかは、パスワードを記録させた方が堅牢性が高いパスワードが維持できると思います。

今後、外部のインターネットサービスを利用して企業活動を行っていくことも増えると思います。
その際に、毎回全てのパスワードを「覚えろ」では限界が来ると思いますので、こういった「記録する」という手段もあるということを知っておいてもらいたいです。

[参考サイト:ITmedia]パスワードを保護する方法、IPAが推奨策を紹介

パスワードを「記録する」こと

Posted in パスワード

ISMS/ISO27001を取得している企業ではシステムにログインする際やPCの起動の際などにIDとパスワードを入れている会社が多いです。

私はよくコンサルを行う前に現場の人に「お仕事で普段よく使われるパスワードは何種類ぐらいありますか?」と質問することがあります。

だいたい3~5個という答えをもらう時が多いです。
たまに10個以上というツワモノの方もいます。
「どうやってそんなに覚えているのですか?」と聞くと、それぞれに色んな工夫をされています。

私はよくその後に「同じパスワードは使ってますか?」と聞きますが意外と「使っている」と答える人は多いです。

また、「仕事では使っていませんがプライベートで使っているオンラインバンキングやカードのパスワードは同じです」と言ってくれる人もいます。

いやいやパスワードの使い回しに本当に危険です。

参考までにIPAが推奨するパスワード保護の方法では、まずパスワードを作成する際に、名前や辞書に載っているような単語を避け英字(大文字、小文字)・数字・記号など使用できる文字種すべてを組み合わせ8文字以上にする。複数のオンラインサービスを利用している場合は、同じパスワードを使い回しせず、異なるパスワードを使う同じパスワードを長期間使用せず、変更することなどを挙げています。

IPAの推奨する方法を実施していくと「覚える」ことが難しくなると思います。
パスワードは忘れてしまっては元も子もありません(初期化が出来るのは別途必要ですが)。

私がよくお奨めする方法は、どこか別の場所で記録することです。
手帳でも良いですし、エクセルファイル等でも良いと思います。

ただ、記録した情報については厳重な管理が必要となってきます。
手帳等の紙で記録する場合は、他人が見ても分からない状況にしておきましょう。しっかりした人ほど手帳に丁寧に「サイトURL、ID、パスワード」とセットで分かり易く記載しています。
これだと手帳を見た人に直ぐにサイトに侵入されてしまいますので、URL,ID,パスワードをセットで記載しないことや、パスワードは右から左の逆で記載する等の工夫が必要です。

エクセルやパスワード管理ファイルで管理する場合でもURLは出来たら記載しないことや、IDが忘れる可能性が低いのであればIDを記載しないことがあると思います。
また、パスワード管理ファイルやエクセルには厳重なパスワードを掛けることは必須です。

もちろん、上記のような方法は「禁止」となっている会社もあります。
パスワードは記録してはいけないというルールの会社もありますのでその会社では上記の方法は使えません。

しかしパスワードを「覚えれる」ために安易な文字列にしたり、複数のパスワードを使い回すことよりかは、パスワードを記録させた方が堅牢性が高いパスワードが維持できると思います。

今後、外部のインターネットサービスを利用して企業活動を行っていくことも増えると思います。
その際に、毎回全てのパスワードを「覚えろ」では限界が来ると思いますので、こういった「記録する」という手段もあるということを知っておいてもらいたいです。

[参考サイト:ITmedia]パスワードを保護する方法、IPAが推奨策を紹介

Author: 幸松 哲也
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする