見出し画像

#4 過去5回の間に使用されたPWはお使い頂けません

久湊 有起 / 習作派

※本日は全編にわたって喧嘩腰です。理由としては、今日14時からweb観劇の予定だったんですがすっかり忘れてパスタ作って呑気に食ってたからです。ごめんなさい。八つ当たりですがやらせてもらいます。2,000円の恨みにお付き合いください。


タイトルの件ですが、これなんなんですかね?(怒)

通常のgoogleやその手のアカウントのパスワードに関しては有効期限が定められていないものが多いので日常生活で目にすることは少ないと思いますが、僕は仕事が金融系のおカタめなのでこの文言には慣れています。間違っても親しんではいません。毎回いらっとさせられます。

理屈はわかります。90日だかそこらの有効期限を設定して定期的にパスの変更をユーザー側に要求することでセキュリティ向上を図る。その際同様パターンの反復を許容すると予測可能性を上げてしまうので異なった5つ以上のパターンを用意することを重ねて要求してやろうという考え方。理解はできますよね。ただ全くもって納得できない。

むしろ概ねセキュリティの低下をもたらしかねないのではないかとすら思います。

ということで以下反駁を挙げてみたいと思います。
異論は認めますが聞く耳は持ちません(頑)。



■1 PWの外部保存するユーザーが増加する

僕は転勤族で今2場所目なんですが、2つの職場共に管理職の方々のPWはデスクのメモパッドか引出しの中、もしくはディスプレイにつけた付箋にメモされてました。仕方ないと思います。
「5つ以上の4桁の数字のパターンを用意しろ」と言われても、奥さんとの記念日が覚えられない世のお父さん方には無理です。自分の誕生日だって時々思い出せないのに記念日ってなんだよ。サラダかよ。無理だよ。記念日覚えてるのがそんなに偉いのかよ。覚えてないことを咎めるんじゃなく覚えていたことを褒める家庭を作っていこうよ。ていうかよく考えたらお父さんたちそんなことで文句言ってんじゃねぇよ。お前らには家庭があるだろ。持てるものの苦悩かよ。あ、この「もてる」は「noble」と「モテる」を引っ掛けた洒落じゃねぇからな。勘違いするなよ絶対だぞ。

話が独身男性の僻み方向に大幅に外れてしまいましたが、少なくない人数がPWをどっかに書いちゃってるのが実情なんですね。これじゃあ変更しないPWを一つだけ覚えておく方がよほど健全と言えます。

ちなみに僕がみたお父さんたちの保存されたメモを再現したものがこちら。

画像1

どれやねん。


もう見てられませんでした。かわいそう。何がかわいそうって、書いた本人も、会社も、システム作った人も、あとメモされた紙も何もかもです。即刻改善していただきたい。ていうか最後の「0718」って誕生日かなと思って聞いたら、
「あ、銀行の暗証番号」
って言ってたので事態はだいぶ深刻です。あんたは池崎さんか。


■2 むしろ予測可能性が上昇している

これも身の回りの数名が採っていた対策でしたが、メモこそしないものの先の画像のように「1212」「9898」のようなギリギリ覚えられる数字を設定しているケースが多いようです。
例えば「1212」「2323」「3434」「4545」「5656」の5つを永久リピートして使用しているらしく、確かに利便性はありますが先ほどと同様セキュリティ面は全く担保されていない。ローラー的に展開すれば簡単に突破されてしまうのは不合理です。

■3 数字のみである必要がない

なんで数字だけなのか。PCのログインPWだって英数混合なのになぜ数字オンリー、しかも4桁なのか。銀行口座の暗証番号はATMにテンキーしかないですし、ユーザーが多種多様である関係上即座に英数混合に改善することは難しいでしょうけど、今日びiPhoneだって4桁じゃ入れやしない。導入しているセキュリティソフトの容量の関係だとしても、そんなもん後からどうにでもなるはずです。コストもさほどかからないでしょう。
4桁数字のみの場合、おおかたの人が特定の日付か思い入れのある数字に収斂すると思われます。かくいう僕も円周率の小数点以下4桁だったり、タクシー数だったり、2番目のカプレカ定数だったりと、長期的に覚えていられる数字に限定されます。性格や生年月日から推測が容易になりやすいのも数字のみの特徴かもしれません。

■4 そもそも必要ない

ちょっと言い過ぎかもしれませんが、弊社に限っては紙媒体での仕事もまだまだたくさんあることからオフィスに侵入された時点で詰みです。
仮にPCに入っているデータのみが重要という場合でも、PCを固定させているのはやっすいワイヤー錠のみで、PW入力に失敗しても一定時間ログイン制限がかかるだけですので、100均のペンチと粗悪な解析ソフトだけで簡単に済んでしまいます。
だったら入力する従業員の手間を天秤にかけて廃止したって問題はないように感じます。素人考えですが。



……とまぁ、書いてるうちに怒りも収まってきたのでこの辺にしといてやりますが、最近はどの会社もインターネットリテラシーは向上傾向にあるらしいですね。中小企業経営指針にもサイバー関連犯罪対策を講じることが明記されたとかなんとかで(うろ覚え)、全従業員宛に「木馬」対策のダミーメールが送付されたりe-learningでの周知徹底がされたり、みたいな話をよく耳にします。
そういう認識はとてもいいことだと思います。日常へのネットの介入はどんどん加速しますし、アカウントがないと何もできない社会は目前です。皆さんも大多数がSNSのPWを似たようなもので固めてると思いますが、こんなよくわかんない文章を最後まで読む忍耐が備わった方は、これを機にPWの見直しをされてはいかがでしょうか。


そんな話をしながら今日のweb観劇の入場PWを見たら「1400」でした。14:00の回だったからですかね。

あー、なんかまた腹立ってきた。

この記事が気に入ったらサポートをしてみませんか?