水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 管理者パスワードは定期変更ではなく、ルールを決める

管理者パスワードは定期変更ではなく、ルールを決める

2012年2月1日(水曜日)

管理者パスワードは定期変更ではなく、ルールを決める

公開: 2012年2月12日21時35分頃

このお話は興味深いですね……「「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 (d.hatena.ne.jp)」。

Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい

そもそも、「定期的に変更するように義務づけ」ているのに、変更のスパンを決めていないというのがひどい話です。それでは、たとえ「100年に一回」でもポリシーを満たすことになってしまい、義務づけの意味がありません。しかし、実際にはそういうポリシーが多いというのが現実でしょうね。

徳丸さんの答えはこちら。

一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります。その状況では、「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです。そうしないと、「管理者でなくなった人が管理者パスワードを知っている」という状況が起きます。

管理者パスワードを定期的に変更するというのは、上記運用ができない(したくない)場合の代替策ととらえることができます。この場合、一定期間「管理者でない人が管理者パスワードを知っている」状態があり得ます。本来避けなければならない状況であり、積極的にそうする必然性はありません。

むしろ「定期的に変える」では駄目で、必要になったときにジャストタイミングで変えなければならないと。これはその通りですね。

「定期的に変える」というポリシーよりも、どのようなときにパスワードを変更する必要があるのかきっちりと定める方が実効性も高く、より安全になるのではないかと思います。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト