そんなに簡単にパスワードを聞くか?

こんな私でも情報セキュリティに携わる端っこにいる。

パスワードの大切さもよく解っているつもりだ。

最近では、文字だけでないパスワードのようなものまである。写真の組み合わせだったり、人名の組み合わせだったりと、いろんな組み合わせで一致させる。パスワードは名前の通り、文字の組み合わせだから、解りやすい文字や頭文字の組み合わせがよく使われる。だから、パスワードを解析する辞書には普通の辞書のような文字が並ぶ。アニメキャラクターの辞書ってのもあるくらいなのだ。

不規則な文字列は覚えられないので使われ難いが、パスワードの強度としては強くなる。

人間が覚えられるパスワードの文字数は、脳科学的には7?8文字が限界らしい。不規則でない文字であれば、それ以上も楽に覚えられるだろう。私はそうしている。

では、何種類のパスワードを使うだろうか?10も20も使っている人がいるのだろうか?

もちろん、職種によってはそれ以上も必要で、パスワード管理ツールなどで管理しているだろう。

ここでは、自分の記憶で覚えられる話をしている。

通常の範囲は何とも不明確だが、私は数個のパスワードを忘れない組み合わせで利用している。

そんなものではないだろうか?現実問題としては・・・

最近、私自身が体験した信じられない出来事。

とあるパソコンメーカーの話。

経緯は***が***して***だったのだ。詳しく書けないとこは勘弁してほしい。

パソコンには電源を入れた起動時に、パスワードの設定ができる。また起動直後のパソコンのハードウェア設定画面(BIOS)に入るために、パスワードの設定も出来るものもある。

色々とあり、メーカーとのやりとりでパソコンを戻したのだ。

忘れた頃に連絡があったのが最近。その連絡内容は、BIOSのパスワードを教えてくれ!だったのだ。

起動時のパスワードは解除した覚えがあるが、BIOSのパスワードを解除したかの覚えがない。

でもパスワードが掛かってるらしいから、そうなのだろう。

何が信じられないかって、パスワードを電話で聞き出そうとする”その行為”だ。

ソーシャルエンジニアリングとまでは言わないが、同じようなこと。

10年前なら、プロバイダーに電話連絡してその場でパスワードを教えてくれた時代もあった。

ほとんどがプロバイダーの設定したパスワードで、自分で決めたわけではない。

しかし今時は、こんなことも簡単にできない。こんな場合は郵送で送られた書類に面倒なやりとりをした後に、書面にてパスワードが送られてくる。当たり前のこと。面倒ではあるが・・・

BIOSに使っているパスワードも、ほかで使っているパスワードの一部だ。先に書いたとおり、そんなに記憶出来るものではないからだ。

これを、電話口で簡単に答えるほど甘くはないのだ。情報セキュリティに携わる端っこにもいる以上は。

このメーカーの質問は、初対面の相手に対して”今日のパンツは何色だ?”と聞いているのと変わらない。

あくまでもお願い事だから、同意の上で教えてくれ!と、訳のわからない理由を連発していた。

もしも、その理屈が通るのであれば、同意の上でパンツの色を聞くのか?同意しないから教えない?

そもそも、同意以前の問題ではないだろうか?聞いてみなきゃ解らないのだろうか?

とりあえず、聞いてみるのだろうか?駄目もとで・・・

メーカーは、個人情報の関係もあり聞いても厳重な管理の下に・・・と言っていた。

パスワードは、個人情報の枠を超えたプライバシー相当に該当するものと私は考える。

そこまで言うならば、電話で教えても良いと言ったのだ。そんなに引っ張るような話ではないが、”その行為”があまりにも常識を外れたことだったからだ。

ここで、聞いてしまう責任ってのがあることを忘れてはならない。相手が聞きたくもないのに、私が一方的に言うこともできる。例えば、”私は殺人をしてしまった”と。もちろんしたことはないが、聞いてしまった相手はどうだろうか?

一方的に聞かされてしまうこともあるのだ。

同意の上で聞くのであれば、聞く責任をもっと考えるべき。もしも何かあった場合には、そんなもの知っている人は限定されるのだから、トラブルに巻き込まれるリスクは避けられない。

**情報って個人も含め、教える側にも、聞く側にも、双方に責任が生じることを改めて認識していただきたい。

引き続き、この件は追いかけることにする。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。

2 thoughts on “そんなに簡単にパスワードを聞くか?

  1. 新倉茂彦 より:

    koreyoshiさん、コメントありがとうございます。新倉です。
    本文にも書いてますが、そのパスワードの一部を他で使っているのです。なので話は別になります(笑)
    他で使ってないパスであれば、BIOSのパス何かなんともありません。
    単にBIOSを開けるためのパスワードで、これだけにしか使ってないのならば、この鍵で開けられるBIOSの中身の価値は大したことはないでしょう。
    パスで通過する先の話ではなく、パスそのものを聞く行為が、パソコンメーカーとしては、ありえないことだと思ってます。

  2. koreyoshi より:

    釈迦に説法かとは思いますが
    そのパスワードが何を保護しているかと教える相手によるのではないでしょうか。
    状況が細かく分かりませんのでメーカの対応が正しいかは分かりませんが、BIOS内にとても重要なデータを保護しているのではないなら修理という対価が得られるという前提でBIOSパスワードを教えるのは場合によってはアリはないでしょうか?
    セキュリティの強度設定はリスク次第だと思いますし運用ルールの検討が前提になると思います。
    あ、そのパスワードを他でも使っているなら話は別です。

この投稿はコメントできません。