Microsoftのセキュリティ専門家によると、企業は従業員がパスワードを書き留めるのを禁止すべきではないという。パスワードをメモすることが禁じられてしまうと、従業員が多数のシステムで同じパスワードを使うことを余儀なくされるというのが同氏の考えだ。
MicrosoftのJesper Johanssonは、オーストラリアのComputer Emergency Response Team(AusCERT)が主催した会議の初日に講演したが、そのなかで同氏はセキュリティ業界がこれまでユーザーにパスワードをメモしてはいけないという間違ったアドバイスをしてきたと述べた。同氏はMicrosoftでセキュリティポリシーを担当する上級プログラム管理者の立場にある。
「皆さんのなかで、パスワードのメモを厳しく禁止するセキュリティポリシーを定めている人は?」というJohanssonの問いかけに、出席者の大多数が手を挙げた。「私はそうしたポリシーが大間違いだと言いたい。パスワードに関するポリシーでは、自分の使うパスワードを書きとめることが推奨されるべきだと思う。実際に私は68のパスワードを使っているが、もしこれらをメモしておくことが許されないなら、結局いつも同じパスワードを使うことになるだろう」(Johansson)
Johanssonによれば、同一のパスワードを使用することは、全体的なセキュリティを弱めることになるという。
「どのシステムでも好みのパスワードを使えるとは限らないことから、私は実にいい加減なものを選び、それをどのシステムでも使い、決して変更しないようになるだろう。パスワードを紙にメモして、そのメモをきちんと管理すれば、何ら問題はないはずだ。こうすることで、より多くのパスワードを覚えられるようになる」(Johansson)
Johanssonはセキュリティ業界がパスワードについて20年間も間違ったアドバイスをしてきたと批判した。
会議の参加者は、Johanssonのアドバイスは筋が通っているとの点で意見が一致したが、ただし一部には同氏の考えが実際的でないと考える人間もいた。
ある世界的なエンターテインメント企業で働くIT管理者は、自分の勤め先では従業員がパスワードをメモするのを禁じる厳しいポリシーを定めているが、それでも同氏は個人的なパスワードをメモしたファイルを暗号化して保存しており、複数の強力なパスワードを覚えようとするよりも、このやり方のほうが「道理にかなっている」と述べた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス