パスワードを忘れた? アカウント作成
16718423 story
セキュリティ

社内でのパスワード管理はどうしている? 95

ストーリー by nagazou
やはり紙 部門より
あるAnonymous Coward 曰く、

私は大手IT系の関連SIer会社で働いているのだが、開発用のサーバなどがいくつもありログインパスワードを覚えるのが大変だ。

社内のルールもセキュリティを意識していて「簡単に推測されない」「使い回しをしない(最後の一文字だけ変えるのもだめ)」などのルールがある。しかし、私はそんなに物覚えがいい方ではないのでパスワードをしきれない。

仕方ないのでセキュリティルールを統括する部門にパスワード管理ソフトを許可してくれないかとお願いしたところ、Emotetに感染した場合ブラウザがキャッシュしているパスワードを盗むことを理由に拒否されてしまった(日経クロステック)。

仕方ないので7ZipでAESパスワードをかけてテキストファイルにでも使おうと思うのだが、皆様はどう管理されているのか知りたい。

参考:
2009年の同様の質問
https://security.srad.jp/story/09/11/13/046214/
2002年
https://security.srad.jp/story/02/09/24/2021229/

  • 「簡単に推測されない」「使い回しをしない(最後の一文字だけ変えるのもだめ)」などのルールがある。

    かつ、「定期的にパスワードを変更する(有効期限が設定してある)」だったりな。
    あと、「使い回し」は、「以前に使ったものを使わない(複数世代管理してある)」と「複数アカウント間で同じものを使わない」の二通りが有り得る。
    ついでに、昔に定めたであろう「辞書に載っている英単語を含まない」「英大文字・小文字・数字・記号を必ず1文字以上含む」なんてアホなルールが生きてたりして。

    それでいて「パスワードマネージャーを使わない」とか、常人の能力を超えてるわけで、できるだけ覚えやすいものを使おうとして、結果「簡単に推測されない」の反対の状態になってしまう。

    解決策としては、「そんなアホなルールを変える」か「IDMを導入してシングルサインオンにする」辺りを考えるんじゃねぇかな。
    そーゆーのを提案するのが「大手IT系の関連SIer会社」の役目じゃねーかな。

    医者の不養生・紺屋の白袴・SIerのクソ社内システムだねぇ。
    だいたい、SIerの社内SEは、顧客相手の最前線では戦えないヤツらが居るわけだろうし、仕方ないのかもしれない。

    ここに返信
    • by Anonymous Coward

      解決策としては、「そんなアホなルールを変える」か「IDMを導入してシングルサインオンにする」辺りを考えるんじゃねぇかな。
      そーゆーのを提案するのが「大手IT系の関連SIer会社」の役目じゃねーかな。

      その条件であればそんな会社は見限って転職が最適解じゃないですかね

      # あれ?日本国籍企業が候補に見当たらないぞ

      • by Anonymous Coward

        その条件であればそんな会社は見限って転職が最適解じゃないですかね

        結局行きつくところはそこだよね。
        セキュリティ統括部門が己の仕事のコストを個々の従業員に丸投げしてる状態を是として改善する気もない、という話なんだし。

  • 管理しない管理方法 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2023年08月10日 9時06分 (#4508592)

    ばれたら謝罪

    ここに返信
    • by Anonymous Coward

      知り合いの御仁は毎回パスワードリセットして、パスワード生成ツールで生成したパスワードを設定してアクセスしています。
      方法としては正しいけど、毎回パスワードリセット&再設定というのは・・・。

      • by Anonymous Coward

        大昔、どこのサイトとはいいませんがsl〇shdot.jpとかいうサイトでそんな事してました。
        毎回パスワード設定してログイン、次のログインまでにパスワード忘れて再設定…

        で、そこで得た教訓は「もうAnonymous Cowardでいいや」だったり。

    • by Anonymous Coward

      ばれたら謝罪

      詫び爺か詫び石を用意するのもシステム管理者の仕事にされかねんな

  • by jizou (5538) on 2023年08月10日 9時20分 (#4508601) 日記

    わからなくなったら電話で聞く
    決まってるじゃん。

    電子秘書だけどね。

    ここに返信
  • テキストでは、サーバごととかサイトごとに、ユーザ名とともに
    4系とかp系とか記録しておいて

    紙の方には
    4系: cyclon4you
    p系: may the perl be with you
    とか フルスペルの内容を書いておく。

    紙の内容は できるだけ記憶しておいて、思い出せない場合のみ紙を参照。

    ここに返信
  • 毎回、パスワードを打っているんだろうか。

    ここに返信
    • by Anonymous Coward

      「Emotetに感染した場合」
      あらゆるマルウェアに感染した場合を想定して全て対処するんだとしたらすごいですね
      まともに仕事できなくなりそうな

    • by Anonymous Coward

      ブラインドタッチが出来ない人にとっては苦痛なんだろうな

    • by Anonymous Coward

      てか無効化は可能なの?
      それ以外は公開鍵認証とMobaXterm任せかなぁ。
      アプリはほだいたいが自前で覚えとるしね。たまに忘れてるときあって困るけど。

    • by Anonymous Coward

      malware 感染を前提とするのであれば、毎回パスワードを打ってるとキーロガーで盗まれるわけで論外でしょうね。
      そこまで要求するところは、物理的な認証デバイスを導入するしかないような。

  • by Anonymous Coward on 2023年08月10日 8時17分 (#4508560)

    Emacsを使ってパスワードを~/password.gpgにでも書いておけばいいだけじゃね?
    そうしとけば開く時に勝手にパスフレーズを聞いてくる。
    それ以外は通常のファイルと同じ扱い。

    ここに返信
  • by Anonymous Coward on 2023年08月10日 8時20分 (#4508562)

    ID Managerは日本語ソフトで国際的な知名度が低くハッカー・マルウェアに狙われにくそう

    ここに返信
    • by Anonymous Coward

      単なるテキストで保存してる

      • by Anonymous Coward

        同じく。

        もちろんローカルには置かない。
        社内ネットワークにログインできている時点で、開発用サーバーとかどうでもいいよね。

  • by Anonymous Coward on 2023年08月10日 8時36分 (#4508571)

    パスワードマネージャkeepassで管理しています。

    ここに返信
    • by Anonymous Coward

      個人用は KeePass 2 で管理してるけど、社用とかで利用するには壁が厚くて嫌になりますよね。
      結局 Excel にパスワードかけて共有するくらいしか思いつかない。

  • by Anonymous Coward on 2023年08月10日 8時56分 (#4508582)
    (本当にそういうサーバあったんですよ・・・)
    ここに返信
  • by Anonymous Coward on 2023年08月10日 9時08分 (#4508593)

    パスワード管理ソフトを許可してくれないかとお願いしたところ、Emotetに感染した場合ブラウザがキャッシュしているパスワードを盗むことを理由に拒否されてしまった

    それ、ブラウザ内蔵のパスワードマネージャーから、暗号化なしで保存されてるパスワードをコピーするというだけの話で
    普通のサードパーティパスワードマネージャーは、パスワードは暗号化して保存するしましてやブラウザにキャッシュさせたりしないのでは…

    ここに返信
  • by Anonymous Coward on 2023年08月10日 9時10分 (#4508595)

    共有サーバーのrootパスワード等は、どうしても複数ユーザーが参照できるようにしておく必要があるので
    ユーザー認証つきのwikiに書いてますね。
    wikiはLinuxサーバーで動かしているので、それ自体はEmotetへの感染はないはず。

    ここに返信
    • by Anonymous Coward

      >どうしても複数ユーザーが参照できるようにしておく必要があるので

      それ禁止されました。
      複数ユーザが区別できるように、個人ごとに独立のアカウントを作成し、それぞれでadministrator権限を付加するようになりました。

      • by Anonymous Coward

        root(WindowsならAdministrator)が存在する以上、そいつをどうするかって話だろ。
        普段の作業は各自のアカウントで管理者権限行使出来るようにしておいてrootを使わないのは当然。

        それでもwikiはないな。
        xlsxにパスワードかけて保存してるのと変わらん。
        ローカルに入られなくともバックアップとか情報流出とかでやばいじゃん。
        それともファイルを暗号化するwikiなんてあるのか?

        • by Anonymous Coward

          > 普段の作業は各自のアカウントで管理者権限行使出来るようにしておいてrootを使わないのは当然。

          ですね。
          ssh公開鍵認証でログインできるようにしてあり、管理者権限についても有象無象な開発サーバーについては NOPASSWD で sudo できるようにしてあるので、root 以外はパスワード自体が不要です。
          5分間端末を触らないとスクリーンセーバーを起動して端末のパスワード入力を要求するのがルールになっているので
          NOPASSWD でもそれほど危なくはないです。
          部門サーバーについてはパスワードを設定してあり、sudo 時に一応パスワードを要求するようにしてますが。

          なおサーバー類

          • by Ryo.F (3896) on 2023年08月10日 22時23分 (#4509134) 日記

            なおサーバー類は鍵付きのサーバールームに置き、root でのリモートログインは禁止してあるので、
            管理者の入れ替わりがあっても root パスワードを変更する必要はなく、サーバールームの入室権限だけ
            変更すれば問題ありません。

            rootのリモートログイン禁止に加え、suを禁止(もしくはsuを実行できるユーザを厳しく制限)してる、って話ですよね?

            管理者の入れ替わりはどうしても避けられないので、共有パスワードのたぐいで頑張るよりも
            バックアップメディアを安全な場所で管理する方がマシだと判断してます。

            他には、n人の内、m人がパスワード認証しないと復元できない、みたいな仕組みはあり得る気がしますね。
            そんなバックアップソリューションあるのかな? ありそうな気はしますが。

        • by Anonymous Coward

          普段使ってるアカウントにAdmin権限付けるのもこえーな。特にDomain Adminともなると。
          一人情シスだけど、他の一般社員とほとんど同レベルの権限で、必要な時だけAdminでログインしてる。
          Linuxサーバなんかは個人アカウントで入って、suとかsudoしてるけど。

          偉い人があのフォルダも見れるようにしろ、このフォルダも見れるようにしろと危なっかしくて見てられない。
          あなたのアカウントに何かあった時えらいことになりますよ?と言っても聞かないし。

  • by Anonymous Coward on 2023年08月10日 9時36分 (#4508608)

    ・推測されにくい複雑な文字列を使用
    ・文字数を長くする(12桁以上)
    ・パスワードは使いまわさない
    ・定期的にパスワードは変更

    となると、個人の記憶力に頼る方法は心許ない。
    Emotet対策として、ブラウザにパスワードを登録しないことであってパスワード管理ツールを使わないことではない。AESのような安全性の高い暗号化技術でパスワード情報が守られていてパスワードデータベースへのアクセス方法がos やブラウザなど他と共有しないパスワード管理ツール固有のものであればよいのではないか。機密情報を含んだデータの漏洩対策としては堅牢な暗号
    強固なユーザ認証があれば防げるのでパスワード管理ツールを使わせない、というのは無理がある。
    融通の効かない運用ルールの遵守を求めることが、セキュリティホールになる。最近ではパスワード管理用の手帳やメモパッドが売れているようだけど、これらを紛失して第三者の手に渡ったらダメじゃないか。
    パスワード管理ツールの使用を禁止ではなくて、会社のセキュリティポリシーに適したパスワード管理ツールを調達して使用を推奨すれば良いだけの話。

    ここに返信
  • by Anonymous Coward on 2023年08月10日 9時38分 (#4508611)

    紙(メモ帳)に書いて、持っている。

    ここに返信
  • by Anonymous Coward on 2023年08月10日 9時55分 (#4508630)

    なぜパスワード管理ツールを支給する会社は少ないのか?
    これはガイドラインの推奨策やベストプラクティスに載っていないからだ
    ではなぜパスワード管理ツールは推奨されないのか?
    それはパスワードは頭で覚えるものだからというのがセキュリティ専門家の見解だからだ

    ここに返信
    • by Anonymous Coward

      パスワード管理ツールがクラックされたらどうするのかねパスワード管理ツールの提供元が裏切ったらどうするのかね。
      うちはファイルサーバ上のエクセルで管理してます。

  • by Anonymous Coward on 2023年08月10日 10時01分 (#4508633)

    グループウェアにメモ目的のテキストを保存する領域があるのでそこに。
    とりあえず覚えておくのは無理。パスワード作ったことから忘れる。

    ここに返信
  • by Anonymous Coward on 2023年08月10日 10時03分 (#4508634)

    昔はテキストファイルで管理していた。
    今はワンノートのクラウド同期になりパソコンが変わっても即座に確認できる。
    //勤務先のルール上アカウント情報にも機密度レベルの区分があり高レベルなものはファイルに記録するブラウザに保存するなどするなということになっているが確信犯的に無視している

    ここに返信
  • by Anonymous Coward on 2023年08月10日 10時07分 (#4508638)

    毎回パスワード再発行を行って、複雑なパスワードを生成してつけなおす。

    ここに返信
  • by Anonymous Coward on 2023年08月10日 10時12分 (#4508641)

    パスワードは記憶して手で毎回うってるけど、GitHub のくそ長いPAT(Personal Access Token)は
    記憶できないのでGCM(Git Credential Manager) でWindows の資格情報マネージャに登録してる。

    この資格情報マネージャが安全なのかどうか不安がある。
    マルウェアに感染したらアウトだと思ってる。

    ここに返信
  • by Anonymous Coward on 2023年08月10日 10時20分 (#4508647)

    もちろん独自の「難読文字」で。
    しかもすごくシンプルなルール(アルファベットは大文字と小文字を反転して表記、とか)を適用。

    ここに返信
  • by Anonymous Coward on 2023年08月10日 10時39分 (#4508661)

    エンドユーザーのパスワードとかはOTP必須で自分で管理させる。デスクトップとか基本サービスしか利用できないようにしてそこから重要システムへのアクセスはFWとかでコントロール。
    PWをもっとしっかり守りたいサーバとかサービス用アカウントはOTPシステム入れて、そこで都度有効化させてログを残しつつ数分で失効するOTPを毎回使わせる。
    でもそこまでできる会社はなかなかないよね。

    ここに返信
  • 覚えられる範囲は覚えておいて、忘れたときように手帳に書いて鍵がかけられる場所に保管
    ネットワーク経由での流出と同僚による窃視・窃盗を主な原因と考えて行動すればいいんですよ

    ここに返信
  • by Anonymous Coward on 2023年08月10日 10時53分 (#4508668)

    外との通信が基本全部塞がれていて外部API使いたい場合は申請して解放して貰うようになってるけど
    SSHはYubiKeyの指紋認証のが配布されてるのでそちらを使う
    基本多要素認証はYubiKeyに寄せてるけどOTPも使えるようにはなってる

    ここに返信
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...