銀行、仕事で使うパソコンなどなど今はパスワードで本人の認証をしていることが多い。
定期的なパスワードの変更の盲点!?何を言っているのか!!定期的にパスワードを変更するなんて基本中の基本で何も問題ないじゃないか!!という罵声が聞こえてくる。
確かにおっしゃる通り。ただ。。。。この定期的というのは間隔が決まっている定期的なパスワード変更方式には意外な盲点があるということを言いたい。
セキュリティ事故にはいろんな要素があり発生するが、この一定間隔のパスワード変更の盲点として、水面下で管理者などのパスワードを盗むことができる要員がいた場合、例えば180日ごとにパスワードを変更するという規約を知っているならば、180日という間隔さえ押さえておけば、その間は好き放題できる可能性がある。意外な盲点として管理者(もちろんきちんと管理している管理者もいるが。。)も定期的にパスワード変更しているため大丈夫だろうと思い、監査ログなどをじっくりと見て、不審なものがログインしているところまで意外に気が付かないものだ。
意外にも、何らかのトラブルでパスワードの変更ができなかった際に、不審者が何度かパスワードを間違えてロックしてしまったときに、正規の管理者権限をもっている要員がログインがロックされていることでパスワードの漏洩に気づき、セキュリティ管理者に報告ということで不審者(主に内部)が特定できるという皮肉な結果になる。
個人というより、企業でこのようなことが発生する確率が段違いに高いものだ。
ということで、権限の高いパスワードは不定期に変更(もちろん長期間はダメ)されるといった運用をとった方が中途半端なハッカー気取りの輩を撲滅できるはずだ。
