あるシステムを利用する全てのユーザーに、新しくアカウント(ユーザIDとパスワード)を発行しようということになった。
それまでは、そのシステムを開発やテストで使う場合には、共通のアカウントが使われていた。誰もが同じユーザーIDとパスワードを使って、システムを使っていたわけだ。しかし、それではセキュリティ的に問題がある。これからはユーザーごとにアクセスを制御し、利用状況もログに記録しよう、ということになったのである。
しかし、発行されたユーザーIDとパスワードの一覧を見て驚いた(もちろん、一覧が閲覧できるのは限られた人間である)。ユーザーID は数字の連番、パスワードは、全員が同じ "guest" なのである。
例えば、私の ID が "005" なら、隣の席のNさんは "006" だ。Nさんのパスワードも "guest" だから、私はNさんのフリをして、そのシステムを使うことができる。ID を適当な数字にすれば、誰か知らない人になりすましてログインすることもできるだろう。
全てのユーザーが、発行後すぐに自分のパスワード変更するという前提なら、このような運用でも、問題はないのかもしれない。しかし、実際にはそんなことは望めない。しかも、このシステムでは、自分のパスワードを変更することができない(管理者に申請するしかない)のだから、なおさらである。
言うまでもないことだが、セキュリティはシステム(仕組み)だけでは確保できない。人間がその仕組みをどう使うかが肝心なのである。
■関連記事
・安全なプログラムを作ろう
暗証番号はなぜ4桁なのか? セキュリティを本質から理解する
posted with amazlet
on 06.05.21
岡嶋 裕史
光文社 (2005/09/20)
売り上げランキング: 2,625
光文社 (2005/09/20)
売り上げランキング: 2,625
おすすめ度の平均:
コンピュータセキュリティの入門書の入門書です一つの見解だろう
退屈せずに読めた。
個人情報保護士試験公式テキスト
posted with amazlet
on 06.05.21
柴原 健次 ITセキュリティ研究会 藤谷 護人 宮崎 貞至
日本能率協会マネジメントセンター (2006/03)
日本能率協会マネジメントセンター (2006/03)