某所から「お客が弱いパスワード(たとえばゾロ目、1234…、qwertyuiなど)を変えてくれない、事情が有って拒絶するわけにもいかない。どうしたらいい??」とヘルプが… それで適当に思い立ったことを…「インセンティブ付けたら? パスワード強度判定(松竹梅で)して、梅だと権利ないけど、竹だと豪華賞品が当たる!? 松だとさらにその2倍の確率で当る!? それを毎月抽選するっていうのはどう?」と提案。本気で稟議にかけるみたい^^;
と書きましたところ、
「無意味に長いパスワードを付けてしまい、当然、憶えられず、付箋等に書いて、ディスプレイに貼付けるのでは?」
という指摘がありました。その通りなんですが、リスク分析(そんな大したものでもなく)から言って、そういうところ(つまりパスワードに無頓着なところ)では、付箋に書いて貼付けるほうがまだまし(安全?)ではないかということです。
昔から「パスワードを付箋に書いてディスプレイに貼付けるのはいかがなものか!?」と言われてきました。しかし,今、大概の組織や個人(必ずしもネットワークセキュリティについて意識がない)では物理的セキュリティよりもネットワークセキュリティのほうが、ある意味、脅威ではないかと思います。外部者を無闇に入れない、物品管理を行う等の物理的セキュリティは少なからず意識されているのですが、後者はそうではありません。「1234…」というようなPWを付けるぐらいなら、複雑なPWにして、付箋に書いてディスプレイに貼っておくほうが安全だと思います。まあ、一般的には、標的型攻撃とはいえ、物理的セキュリティ、つまり事業所まで行って、わざわざ付箋を見に行く人はいないでしょう…もちろん、ディスプレイに貼るのは極端ですが:ー)
何よりもネットワークの向こうにいる世界中を敵に回すよりも、身近な敵に注意するほうが簡単でしょう。そろそろ100点を狙うセキュリティではなく、60点を狙うセキュリティをかんがえるべきなのではないでしょうか?! もちろん対象によりますよ!