以前、パスワードの定期変更についてつらつら書いてみたことがあります。パスワードの定期変更って、実際のところ少数のパスワードをメリーゴーラウンド式に使ったり、パスワードの後ろの数字を「+1」してみたり、そもそものパスワードが病院名に数字二桁足したり…とお粗末なパスワードにしかつながらないからと考えているからです。ただ、当然定期変更の強制を止めたところで、人々の意識が変わらない限り、パスワードの品質向上にはつながりません。ここで、これの危うさを熱弁してみたいと思います。
セキュリティをいくら頑張っても…
情報漏洩は、何もネット越しでハッカーが頑張ってセキュリティをかいくぐって生じる類いのものだけでは無いです。物理的に機械が置いてあるところに侵入して、USBをさしてデータを楽々お引っ越ししたり、パスワードをどこかからか入手したり、従業員自身が過失または故意にデータをばらまいたりと、様々。パスワードがわかれば入手できる情報を、わざわざ手間暇リスクかけてハッキングする必要はないでしょう。「しっかり」としたパスワードの利用は大変重要になってきます。
CDMS/EDCにとって監査証跡が最重要であるとたびたび訴えていますが、それはユーザーがなりすましでないという大前提の上で成り立っています。大事なことなのでもう一度:あなたがいい加減なパスワードを使用すると言うことは、監査証跡にあなたの名義で残っている操作が、実際にあなた自身によって行われたものだと言うことができなくなってしまうに等しいのです。
電話番号覚える感覚で
今の若い方々には信じられない話かも知れませんが、友人や会社の電話番号を暗記していた時代があったのです。何一つ、不自由はなかったのに、今はスマホのアドレス帳がないと電話一つかけられません…。言いたいことは、人間、本来暗記してしまう力があるのです。実際にやってみると、同じ感覚で10桁~20桁のパスワードは覚えられちゃいます。暗記するのがものすごく苦手な私が言うのですから、間違いありません。
基本となるのは、完全にランダム生成されたパスワードです。これを、頑張って覚えます。一つのしっかりとしたパスワードを、一部だけ変えて複数のアプリケーションで流用する方が全てのアプリケーションにいい加減なパスワードを設定するより100倍マシだと思っています。覚え方については、頑張る。これに尽きます。そのうち、脳が勝手にパターンをこじつけてくれます(多分)。どうやって覚えるのかは、個人差あると思いますが、アーノルドの場合は例えば:
IS6VKN2NCLZ5WJMU
↓
IS6—-VKN2—-NCLZ5—-WJMU
↓
イス6・ヴカン2・ヌシルズ5・ダブリュジェイムー
この調子で、全部覚えちゃっています。大文字小文字の違いはどうするかというと…橋↗と箸↘の違いみたいに区別を付けてます。もうかれこれ2年間も使用していないパスワードも、ばっちり。最初こそ大変ですが、パスワードを覚えることに慣れると、上記の様なパターン化もすんなり出来るようになります。是非、お試し下さい。
コメント