厳しすぎるパスワードポリシーは逆効果
主に企業、それも大企業に多いお話。
最近の大企業なら、イントラネットが構築されているところが普通です。 そうした企業では、Windowsのログオンアカウントとイントラネットの認証システムが繋がっていて、PCにログオンしたユーザーの権限によってできることが限られます。
イントラネット認証の機能
イントラネットの認証を通っていないと、次のような制限課せられるところがほとんどです。
- サーバーのフォルダにアクセスできない
- メールが受信できない
- イントラネットのWebサイトが見られない
- インターネットにアクセスできない
- プリンタが使えない
- 外出先から会社のネットワークに接続できない
- その他の社内システムが使えない
こうして、社内のセキュリティを保っているわけです。
厳しいパスワードポリシー
そこで、こうしたシステムを導入している企業では、各個人のパスワード管理に関するポリシーを厳しく決めています。具体的には、次のようなルールです。
- 一定周期でパスワードを変えることをシステムが強制する
- 過去3回と同じパスワードは使えない
- 短いパスワードは禁止
そしてパスワードの期限がくると、PCを起動するたびに「あと何日でパスワードが無効になるから、変更せよ」と催促されます。いよいよ期限がくると、PCにロログオンできなくなり、パスワード変更以外の操作はできなくなるのです。
現場の実態は…
IT部門の方々は、社内のセキュリティを守るために、こうしたポリシーを適用しておられるのでしょうけれど、このポリシーによって現場のパスワード管理は、よりいい加減になっている、というのが実態だと思います。
もちろん、みんながみんないい加減というわけではありません。 元々パスワード管理をきちんとしているセキュリティ意識の高い方はちゃんしていますが、意識の低い方は、結局いい加減なままののです。
ヒドいのになるとキーボードの左から右へ何文字か押すだけ、期限が来たらキーボードの使う行を変えるだけ、という方もいらっしゃいます。これなんて、横に居たら見てなくてもわかってしまうレベルです。
システムの設定だけでユーザーの意識は変わらない
なぜこんなことになるかというと、「めんどくさい」んです。 ただでさえ覚えにくいパスワードを考えて覚えるだけでも面倒なのに、それをいくつも考えて、定期的に変更して、今自分が何を使っているかまで管理しないといけないなんて、めんどくさいったらありゃしない。
それよりもクラックされにくいパスワードをしっかり設定してもらって、それをきちんと運営してもらう方が、セキュリティ的にはとても意味があるんです。
それを実践してもらうためには、システムセキュリティポリシーを厳しくするだけではダメ。認証サーバーの設定だけで、利用者の意識までは変わらないのです。
ぜひとも、安全で管理しやすいパスワードを
そういう現状を理解した上で、IT部門は適切なポリシーの運営や、利用者への啓蒙を行うべきだと思います。
もちろん、利用者の意識も大切ですから、↓この記事を参考に安全で管理しやすいパスワードを作ってくださいね!