理想と現実
有る方から、ご相談を受けました。理想と現実、を考える良いケースだと思うので、お伝えします。
パソコンなどで使うパスワード。すぐにバレルようなものは、使わないように!と、IPAなどからも注意喚起がでています。実際は、8ケタ以上の乱数に近いパスワードを半年毎に入れ替える、というのが現時点では合格レベル、ということになるでしょうか。
このように指導していくのが、情報セキュリティー対応委員としては正しい姿なのだと思いますが、、、実際は。
8ケタの乱数に近いパスワードは、覚えられないから、メモをパソコンに貼ってしまう。だからセキュリティーレベルが下がってしまうのだ、とのこと。
ここまではさもありなん、、、と思っていたのですが、この先の話は無風凧には衝撃でした。
「8桁の乱数パスワードを発行して、それを未来永劫使ってもらう方が実効的なセキュリティーは高い」
なるほど。名前と誕生日、などのかんたんなパスワードにして使うよりは、8桁の乱数の方が予想しにくいのは判りますが、
「自分で変更してください」とアナウンスした時点で、大概の方は「名前と誕生日」型のパスワードにしてしまう。その簡単なパスワードを半年毎に変えたとしても、どうせ3つのパスワードの使い回しだから、セキュリティーとしてはとても弱いんだ、
との仰せに、茫然としてしまいました、、、と同時に、納得。
パスワードにまつわる理想と現実。経営者としての貴方は、どのように舵をとりますか?
とても良い事例だと思います。
| 固定リンク
コメント