パスワードの定期的な変更は特にセキュリティの向上に効果がないため、パスワード変更は授業で扱わなくても構いません。
準備2課 パスワード(password)の設定・管理
準備2課の目標
- ログイン・パスワード(login password)を変えられる
- パスワードの有効範囲を説明できる
- セキュリティ的(security)に適切なパスワードを自分で決められる
↑経済情報処理(2017)ホームページに戻る
準備問題
以下の文章を読んで、パスワード管理上問題がある点を指摘しなさい
「カドガン卿、いましがた、グリフィンドール塔に男を一人通しましたか?」
「通しましたぞ。ご婦人!」カドガン卿が叫んだ。
談話室の外と中とが、同時に愕然として沈黙した。
「と----通した?」マクゴナガル先生の声だ。「あ----合い言葉は!」
「持っておりましたぞ!」カドガン卿は誇らしげに言った。
「ご婦人、一週間分全部持っておりました。小さな紙切れを読み上げておりました!」
「ハリー・ポッターとアズカバンの囚人」J.K.ローリング(松岡佑子 訳)静山社 より
1. パスワード(password)
ハリー・ポッターの世界では、寮の入り口で適切な合い言葉(パスワード)を言わないと扉が開かない。そして、パスワードさえ知っていれば、それが殺人鬼シリウス・ブラックであっても寮の入り口を堂々と通り抜けられる。神奈川大学のネットワーク(network)においても、「正しいパスワードを知っている人は利用する正当な権限がある人」と見なされる。そのため、パスワードの管理・運用には十分な注意が必要である。
2. パスワード運用のルール
- 共用のパソコンを使う際には、「誰が使っているか」を見分ける基準はユーザ名とパスワード
- ユーザ名とパスワードの組を知っている人は、誰でも本人と同じ権限で作業ができる
- ユーザ名はシステム管理者が決めるのが普通→ユーザには変えられない
- 神奈川大学でのデフォルト(default)のメールアドレス(mail address)はユーザ名をベースにしている→メールを使えばユーザ名は公知と考えるべき
- パスワードは銀行キャッシュカードの暗証番号と同じ
- 絶対に人に教えてはならない(親・兄弟、もちろん教員にも!)
- 紙に書き留めてはいけない(紙は落とす、見られる)
- 口に出してはいけない(聞かれる)
- 忘れてはいけない(誰もあなたのパスワードは知らない)→忘れてしまったらMNSカウンターで「パスワード初期化手続き」
- 容易に想像できるパスワードをつけてはいけない
- 誕生日・電話番号などは使わない
- 短いパスワードは使わない。8文字以上を心がける
- 辞書に載っている単語は使わない。辞書を使った攻撃は基本
- 大文字・小文字・数字・記号を混ぜる
- パスワードは定期変更することが大学の運用ポリシー(policy)として義務づけられている→パスワードの変更方法を知っておく
- 忘れてしまったら、再発行手続きが必要
- 神奈川大学のパスワード管理システムは定期的にパスワードを変えないと文句を言ってくる。これは大学としての管理方針なので、ユーザーとしては従う必要がある。
- しかしながら、一般論としては「定期的にパスワードを変えることを強要して、ユーザーにパスワードを決めさせる」ことがセキュリティ強化になると考える論理的な理由はあまりない。
- たとえば全く意味のない英小文字を20桁くらい並べたものは良いパスワードだが、意味のないものを20桁覚えられるか?
- 面倒だからabcedfghijklmnopqrstuとuabcdefghijklmnopqrstを交互に使うとか、どのサービスでも同じパスワードを使う方が多分危険。
- 「パスワードを定期的に変えろ」という指示は、「十分に強度があるパスワードを付けられないシステム」あるいは「ちょくちょくパスワードが流出するリスクがあるシステム」であれば意味があるが、そうでなければヒューマンエラーの元になるだけ。
- 最近、他のサービスからidとパスワードの組を盗み、その情報を使った攻撃が頻繁に行われている。別サービスで同じユーザーid、パスワードを使い回すことは非常に危険。
練習問題 1
- パスワードの候補をいくつか考えて、「自分にとっての覚えやすさ」「他人からの推定しにくさ」「長さ」「文字の種類」「辞書攻撃への強さ」などの基準から好ましさを検討しなさい
3. パスワード入力時の注意
- パスワードを入力する際は、他人がのぞき見できないように入力した文字がすべて●や*で表示されるのが普通
- だからと言って安心してはいけない。指の動きを見ていればどのキーを押したかの見当はついてしまう(Shoulder surfingという名前まである)。これはキャッシュカードの暗証番号なども同じ。体や鞄などで手元はかくして入力しよう。
- よくあるトラブルは、CAPS LOCKがかかっていて、大文字と小文字が意図したものとすべて逆に入力されること
- 全角・半角の切替を間違えているケースもあるので、インプット・メソッドの状態をよく確認してから入力する
- 時には、カナロック(KANA Lock)がかかっていて全部カタカナで入力していることもあるので注意
4. パスワードの有効範囲
神奈川大学の統合認証システムでカバーする範囲は、コンピュータ実習室でのログインだけではなく、WebSt@tionにログインする際のパスワード、無線LANで接続する際のパスワードなども全て連動している。
ただし、メールシステム(JINDAIメールシステム)で使うパスワードは、上記のパスワードとは違うモノである。これは、JINDAIメールは卒業後も使い続けられるシステムであるため、在籍中しか使えない統合認証システムとは別のユーザー管理を行っているため。ここ、要注意。
よくやる失敗例
- Windowsで無線LANのパスワードが勝手に記憶される → パスワードを変更すると、無線LANが使えない
確認問題
- パスワードを入力したら、何を入力しても●しか表示されなかった。これはなぜか?
- 神奈川さくら(学籍番号 201799999)がパスワードとして sakura201799999 を設定したいと考えている。これは適切なパスワードと言えるか考えなさい。
- 練習問題1で設定したパスワード・リマインダーの設問と答えのペア(pair)を覚えているか確認しなさい。答えは文字の種類も含めて入力した通りでないとダメ
- パスワード無変更警告が出たのでログイン・パスワードを変更した。この場合、パスワード変更の影響を受けるサービスを列挙しなさい
- パスワードの漏えい対策として正しいものを選択してください。
A.誕生日や電話番号などわかりやすいものにしておくとよい
B.メールは危険なのでパスワードを伝えるときは電話を利用するとよい
C.意味のないアルファベットや数字を羅列するとよい
D.パスワードは忘れると困るので紙にメモしておく
E.新しいパスワードを取得したら、あらかじめ周りの人にも知らせておく
- パスワードを決めるときに,セキュリティ対策としてもっともふさわしいものを選びなさい。
A.電話番号
B.誕生日
C.自分で作成した乱数表
D.7桁郵便番号
E.学生番号
- パスワードについての説明として正しいものを選びなさい。
A.一度設定したパスワードは二度と他のパスワードに変更できない
B.パスワードは英大文字を使わなければならない
C.パスワードは重要なので、覚えやすい生年月日や電話番号の番号と同じにするとよい
D.パスワードに数字は使えない
E.パスワードを入力すると、画面上では別の記号で表される
- ログイン・ログオフに関して間違っているものをすべて選びなさい
A. 作業中にトイレなどで短時間席をはずすときは、面倒なのでログオフする必要はない
B. システムの利用権を持っている人同士(たとえば、学生同士)であれば、他人のユーザーIDでログインしてもかまわない
C. ログインしたままで放置された PCで行った作業は、すべてログインした人の行ったことと判断される可能性が高い
D. 自宅で一人で使っている PCであれば、ログイン・ログオフをする必要はあまりない
E. 作業が終わったら、次の人がすぐ使えるようにログオンしたままで帰るのが礼儀である
↑経済情報処理(2017)ホームページに戻る
©2017, Hiroshi Santa OGAWA
このページにアダルトコンテンツ、XXXコンテンツ類は一切含まれていません。暴力反対.