パスワードの定期的変更よりも複雑なパスワード設定の方が重要なことをユーザにどう伝えるか(2)
こんばんは。徳丸先生にブックマーク&リツイートいただいたことでPVが一気に増えて驚いている不覚亭ヨウ素でございます。(徳丸先生ありがとうございました)
一昨日の京都銀行インターネットバンキングにおけるログインパスワード定期変更に関する話題の続きになります。問題は2つありそうです。一つは、一般ユーザの方々の「パスワード」に関する扱いについて。そして、もう一つは管理サイド(この場合はSIerも含む)がどのように考えているのかという点です。
前者に関しては、かなり軽く考えている向きがあるように思えます。現在も追っている佐賀県教育委員会での情報漏洩事件でもそうですが、生徒が簡単にパスワードを他人に教えてしまうことから見てもそう考えられます。付箋に書いてディスプレイの縁に貼っておくのもそうでしょう。危機管理が出来ていません。他にもメールソフトにパスワードを記憶させていて、PCを買い換えて環境移行させる際にパスワードが分からず慌てふためくのもそうかもしれません。一般ユーザにとって「パスワードが漏れること」が一体何を意味するのかが今ひとつイメージ出来てないのだろうと思われます。
そして、後者ですが佐賀県教育委員会の事例で言うと、「不正アクセスが発生した!」という連絡を受けて、対策としてパスワードを変更したと伝えられています。ここから見ても、管理サイドがド素人であった場合「パスワード変更万能論」や、「セキュリティ対策=パスワードへが闊歩していそうです。
管理社サイドの意識として、「とりあえずパスワードさえ変更していれば大丈夫」で思考停止してしまっているのではないでしょうか。
どうやって伝えようか私自身思案中なのですが、「3桁の番号で開く錠前を頻繁に交換するのと、10桁合わないと開かない錠前を長期間使用するのとではどっちが安全だと思う?」という方向で問いかけてみるつもりです。さらに、複数回ログインしようとして失敗した場合にはログイン出来なくなる仕組みの導入を「前者は頻繁に交換するだけだけど、後者は5回解錠に失敗すると爆発するような仕掛けを仕込んでおくとします。そんな状況だったら、どちらの鍵を開けようと思う?」という風に説明すれば、複雑なパスワードを設定して頻繁に変更しない方が安全だということを理解してもらえるんじゃないかと思っています。(^^;;
もし、一般ユーザに説明するのに何かいいアイデアがありましたらお聞かせいただけませんでしょうか。<(_ _)>