そんなに簡単にパスワードを聞くか?
こんな私でも情報セキュリティに携わる端っこにいる。
パスワードの大切さもよく解っているつもりだ。
最近では、文字だけでないパスワードのようなものまである。写真の組み合わせだったり、人名の組み合わせだったりと、いろんな組み合わせで一致させる。パスワードは名前の通り、文字の組み合わせだから、解りやすい文字や頭文字の組み合わせがよく使われる。だから、パスワードを解析する辞書には普通の辞書のような文字が並ぶ。アニメキャラクターの辞書ってのもあるくらいなのだ。
不規則な文字列は覚えられないので使われ難いが、パスワードの強度としては強くなる。
人間が覚えられるパスワードの文字数は、脳科学的には7?8文字が限界らしい。不規則でない文字であれば、それ以上も楽に覚えられるだろう。私はそうしている。
では、何種類のパスワードを使うだろうか?10も20も使っている人がいるのだろうか?
もちろん、職種によってはそれ以上も必要で、パスワード管理ツールなどで管理しているだろう。
ここでは、自分の記憶で覚えられる話をしている。
通常の範囲は何とも不明確だが、私は数個のパスワードを忘れない組み合わせで利用している。
そんなものではないだろうか?現実問題としては・・・
最近、私自身が体験した信じられない出来事。
とあるパソコンメーカーの話。
経緯は***が***して***だったのだ。詳しく書けないとこは勘弁してほしい。
パソコンには電源を入れた起動時に、パスワードの設定ができる。また起動直後のパソコンのハードウェア設定画面(BIOS)に入るために、パスワードの設定も出来るものもある。
色々とあり、メーカーとのやりとりでパソコンを戻したのだ。
忘れた頃に連絡があったのが最近。その連絡内容は、BIOSのパスワードを教えてくれ!だったのだ。
起動時のパスワードは解除した覚えがあるが、BIOSのパスワードを解除したかの覚えがない。
でもパスワードが掛かってるらしいから、そうなのだろう。
何が信じられないかって、パスワードを電話で聞き出そうとする”その行為”だ。
ソーシャルエンジニアリングとまでは言わないが、同じようなこと。
10年前なら、プロバイダーに電話連絡してその場でパスワードを教えてくれた時代もあった。
ほとんどがプロバイダーの設定したパスワードで、自分で決めたわけではない。
しかし今時は、こんなことも簡単にできない。こんな場合は郵送で送られた書類に面倒なやりとりをした後に、書面にてパスワードが送られてくる。当たり前のこと。面倒ではあるが・・・
BIOSに使っているパスワードも、ほかで使っているパスワードの一部だ。先に書いたとおり、そんなに記憶出来るものではないからだ。
これを、電話口で簡単に答えるほど甘くはないのだ。情報セキュリティに携わる端っこにもいる以上は。
このメーカーの質問は、初対面の相手に対して”今日のパンツは何色だ?”と聞いているのと変わらない。
あくまでもお願い事だから、同意の上で教えてくれ!と、訳のわからない理由を連発していた。
もしも、その理屈が通るのであれば、同意の上でパンツの色を聞くのか?同意しないから教えない?
そもそも、同意以前の問題ではないだろうか?聞いてみなきゃ解らないのだろうか?
とりあえず、聞いてみるのだろうか?駄目もとで・・・
メーカーは、個人情報の関係もあり聞いても厳重な管理の下に・・・と言っていた。
パスワードは、個人情報の枠を超えたプライバシー相当に該当するものと私は考える。
そこまで言うならば、電話で教えても良いと言ったのだ。そんなに引っ張るような話ではないが、”その行為”があまりにも常識を外れたことだったからだ。
ここで、聞いてしまう責任ってのがあることを忘れてはならない。相手が聞きたくもないのに、私が一方的に言うこともできる。例えば、”私は殺人をしてしまった”と。もちろんしたことはないが、聞いてしまった相手はどうだろうか?
一方的に聞かされてしまうこともあるのだ。
同意の上で聞くのであれば、聞く責任をもっと考えるべき。もしも何かあった場合には、そんなもの知っている人は限定されるのだから、トラブルに巻き込まれるリスクは避けられない。
**情報って個人も含め、教える側にも、聞く側にも、双方に責任が生じることを改めて認識していただきたい。
引き続き、この件は追いかけることにする。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。