準備2課 パスワード(password)の設定・管理
準備2課の目標
- ログイン・パスワード(login password)を変えられる
- パスワードの有効範囲を説明できる
- セキュリティ的(security)に適切なパスワードを自分で決められる
- パスワード・リマインダー(password reminder)を設定できる
- パスワード・リマインダーを使ってパスワードを再設定できる
↑経済情報処理(2010)ホームページに戻る
準備問題
以下の文章を読んで、パスワード管理上問題がある点を指摘しなさい
「カドガン卿、いましがた、グリフィンドール塔に男を一人通しましたか?」
「通しましたぞ。ご婦人!」カドガン卿が叫んだ。
談話室の外と中とが、同時に愕然として沈黙した。
「と----通した?」マクゴナガル先生の声だ。「あ----合い言葉は!」
「持っておりましたぞ!」カドガン卿は誇らしげに言った。
「ご婦人、一週間分全部持っておりました。小さな紙切れを読み上げておりました!」
「ハリー・ポッターとアズカバンの囚人」J.K.ローリング(松岡佑子 訳)静山社 より
1. パスワード(password)
ハリー・ポッターの世界では、寮の入り口で適切な合い言葉(パスワード)を言わないと扉が開かない。そして、パスワードさえ知っていれば、それが殺人鬼シリウス・ブラックであっても寮の入り口を堂々と通り抜けられる。神奈川大学のネットワーク(network)においても、「正しいパスワードを知っている人は利用する正当な権限がある人」と見なされる。そのため、パスワードの管理・運用には十分な注意が必要である。
2. パスワード運用のルール
- 共用のパソコンを使う際には、「誰が使っているか」を見分ける基準はユーザ名とパスワード
- ユーザ名とパスワードの組を知っている人は、誰でも本人と同じ権限で作業ができる
- ユーザ名はシステム管理者が決めるのが普通→ユーザには変えられない
- 神奈川大学でのデフォルト(default)のメールアドレス(mail address)はユーザ名をベースにしている→メールを使えばユーザ名は公知と考えるべき
- パスワードは銀行キャッシュカードの暗証番号と同じ
- 絶対に人に教えてはならない(親・兄弟、もちろん教員にも!)
- 紙に書き留めてはいけない(紙は落とす、見られる)
- 口に出してはいけない(聞かれる)
- 忘れてはいけない(誰もあなたのパスワードは知らない)→パスワードリマインダーを設定しておく
- 容易に想像できるパスワードをつけてはいけない
- 誕生日・電話番号などは使わない
- 短いパスワードは使わない。8文字以上を心がける
- 辞書に載っている単語は使わない。辞書を使った攻撃は基本
- 大文字・小文字・数字・記号を混ぜる
- パスワードは定期変更することが大学の運用ポリシー(policy)として義務づけられている→パスワードの変更方法を知っておく
- 忘れてしまって、パスワードリマインダーの設定もしていなければ再発行手続きが必要
- 定期的に変更しているダメなパスワードと、滅多に変えないよく考えられたパスワードのどちらが安全かについては議論がある。もちろん、定期的によく考えられたパスワードを使うのが最善だが、人は怠け者。そういう行動をユーザーが取ると考えるのは無理がある。
練習問題 1
- パスワードリマインダーを設定しなさい
- パスワードの候補をいくつか考えて、「自分にとっての覚えやすさ」「他人からの推定しにくさ」「長さ」「文字の種類」「辞書攻撃への強さ」などの基準から好ましさを検討しなさい
3. パスワード入力時の注意
- パスワードを入力する際は、他人がのぞき見できないように入力した文字がすべて●や*で表示されるのが普通
- よくあるトラブルは、CAPS LOCKがかかっていて、大文字と小文字が意図したものとすべて逆に入力されること
- 全角・半角の切替を間違えているケースもあるので、インプット・メソッドの状態をよく確認してから入力する
- 時には、カナロック(KANA Lock)がかかっていて全部カタカナで入力していることもあるので注意
4. パスワードの有効範囲
神奈川大学の統合認証システムでカバーする範囲は、コンピュータ実習室でのログインだけではなく、実習室でメール(mail)を読む際のOutlook
Expressから入力するパスワード、WebSt@tionにログインする際のパスワード、無線LANで接続する際のパスワードなども全て連動している。
よくやる失敗例
- Outlook Expressのパスワードを記憶させてしまっている → パスワードを変更すると、メールが読めない
- Windowsで無線LANのパスワードが勝手に記憶される → パスワードを変更すると、無線LANが使えない
確認問題
- パスワードを入力したら、何を入力しても●しか表示されなかった。これはなぜか?
- 神奈川さくら(学籍番号 201099999)がパスワードとして sakura201099999 を設定したいと考えている。これは適切なパスワードと言えるか考えなさい。
- 練習問題1で設定したパスワード・リマインダーの設問と答えのペア(pair)を覚えているか確認しなさい。答えは文字の種類も含めて入力した通りでないとダメ
- パスワード無変更警告が出たのでログイン・パスワードを変更した。この場合、パスワード変更の影響を受けるサービスを列挙しなさい
- パスワードの漏えい対策として正しいものを選択してください。
A.誕生日や電話番号などわかりやすいものにしておくとよい
B.メールは危険なのでパスワードを伝えるときは電話を利用するとよい
C.意味のないアルファベットや数字を羅列するとよい
D.パスワードは忘れると困るので紙にメモしておく
E.新しいパスワードを取得したら、あらかじめ周りの人にも知らせておく
- パスワードを決めるときに,セキュリティ対策としてもっともふさわしいものを選びなさい。
A.電話番号
B.誕生日
C.自分で作成した乱数表
D.7桁郵便番号
E.学生番号
- パスワードについての説明として正しいものを選びなさい。
A.一度設定したパスワードは二度と他のパスワードに変更できない
B.パスワードは英大文字を使わなければならない
C.パスワードは重要なので、覚えやすい生年月日や電話番号の番号と同じにするとよい
D.パスワードに数字は使えない
E.パスワードを入力すると、画面上では別の記号で表される
- ログイン・ログオフに関して間違っているものをすべて選びなさい
A. 作業中にトイレなどで短時間席をはずすときは、面倒なのでログオフする必要はない
B. システムの利用権を持っている人同士(たとえば、学生同士)であれば、他人のユーザーIDでログインしてもかまわない
C. ログインしたままで放置された PCで行った作業は、すべてログインした人の行ったことと判断される可能性が高い
D. 自宅で一人で使っている PCであれば、ログイン・ログオフをする必要はあまりない
E. 作業が終わったら、次の人がすぐ使えるようにログオンしたままで帰るのが礼儀である
↑経済情報処理(2010)ホームページに戻る
©2010, Hiroshi Santa OGAWA
このページにアダルトコンテンツ、XXXコンテンツ類は一切含まれていません。暴力反対.