社内でのパスワード管理はどうしている? 95
ストーリー by nagazou
やはり紙 部門より
やはり紙 部門より
あるAnonymous Coward 曰く、
私は大手IT系の関連SIer会社で働いているのだが、開発用のサーバなどがいくつもありログインパスワードを覚えるのが大変だ。
社内のルールもセキュリティを意識していて「簡単に推測されない」「使い回しをしない(最後の一文字だけ変えるのもだめ)」などのルールがある。しかし、私はそんなに物覚えがいい方ではないのでパスワードをしきれない。
仕方ないのでセキュリティルールを統括する部門にパスワード管理ソフトを許可してくれないかとお願いしたところ、Emotetに感染した場合ブラウザがキャッシュしているパスワードを盗むことを理由に拒否されてしまった(日経クロステック)。
仕方ないので7ZipでAESパスワードをかけてテキストファイルにでも使おうと思うのだが、皆様はどう管理されているのか知りたい。
参考:
2009年の同様の質問
https://security.srad.jp/story/09/11/13/046214/
2002年
https://security.srad.jp/story/02/09/24/2021229/
医者の不養生・紺屋の白袴・SIerのクソ社内システム (スコア:3, 参考になる)
「簡単に推測されない」「使い回しをしない(最後の一文字だけ変えるのもだめ)」などのルールがある。
かつ、「定期的にパスワードを変更する(有効期限が設定してある)」だったりな。
あと、「使い回し」は、「以前に使ったものを使わない(複数世代管理してある)」と「複数アカウント間で同じものを使わない」の二通りが有り得る。
ついでに、昔に定めたであろう「辞書に載っている英単語を含まない」「英大文字・小文字・数字・記号を必ず1文字以上含む」なんてアホなルールが生きてたりして。
それでいて「パスワードマネージャーを使わない」とか、常人の能力を超えてるわけで、できるだけ覚えやすいものを使おうとして、結果「簡単に推測されない」の反対の状態になってしまう。
解決策としては、「そんなアホなルールを変える」か「IDMを導入してシングルサインオンにする」辺りを考えるんじゃねぇかな。
そーゆーのを提案するのが「大手IT系の関連SIer会社」の役目じゃねーかな。
医者の不養生・紺屋の白袴・SIerのクソ社内システムだねぇ。
だいたい、SIerの社内SEは、顧客相手の最前線では戦えないヤツらが居るわけだろうし、仕方ないのかもしれない。
Re: (スコア:0)
解決策としては、「そんなアホなルールを変える」か「IDMを導入してシングルサインオンにする」辺りを考えるんじゃねぇかな。
そーゆーのを提案するのが「大手IT系の関連SIer会社」の役目じゃねーかな。
その条件であればそんな会社は見限って転職が最適解じゃないですかね
# あれ?日本国籍企業が候補に見当たらないぞ
Re: (スコア:0)
その条件であればそんな会社は見限って転職が最適解じゃないですかね
結局行きつくところはそこだよね。
セキュリティ統括部門が己の仕事のコストを個々の従業員に丸投げしてる状態を是として改善する気もない、という話なんだし。
Re:ない袖は振れない (スコア:2)
先立つものがないと、対策するための時間と人手がどうにもならんのよ。
それは健全な話だね。
セキュリティを統括している部門もしくは責任者の意図的怠慢、って言う理由を、まま聞くね。
つまり、何かを緩める方向へ変えた後、問題が発生した場合、その責任を追及される事を嫌がる。
一方、何もしないでは評価が上がらないので、無駄に厳しい方向へ変えることはたまにする。
それによって各ユーザに無駄なコストを強いることになるかもしれないけど、そんなものは定量的に把握しにくいので無視。
ま、どこにでもありがちな話だよね。
Re:医者の不養生・紺屋の白袴・SIerのクソ社内システム (スコア:1)
それは最初の条件「簡単に推測されない」に反するのでは?
結局、常人の能力を超え過ぎた目標を設定すれば、如何にして抜け道を探すか、ってことが新たな目標に設定されてしまって、もっとも重要な「簡単に推測されない」さえ無視されてしまう。
こんなことは誰が考えても解りそうなものなのに、繰り返されちゃうんだよなぁ。
管理しない管理方法 (スコア:2, おもしろおかしい)
ばれたら謝罪
Re: (スコア:0)
知り合いの御仁は毎回パスワードリセットして、パスワード生成ツールで生成したパスワードを設定してアクセスしています。
方法としては正しいけど、毎回パスワードリセット&再設定というのは・・・。
Re: (スコア:0)
大昔、どこのサイトとはいいませんがsl〇shdot.jpとかいうサイトでそんな事してました。
毎回パスワード設定してログイン、次のログインまでにパスワード忘れて再設定…
で、そこで得た教訓は「もうAnonymous Cowardでいいや」だったり。
Re: (スコア:0)
ばれたら謝罪
詫び爺か詫び石を用意するのもシステム管理者の仕事にされかねんな
秘書 (スコア:1)
わからなくなったら電話で聞く
決まってるじゃん。
電子秘書だけどね。
テキストと紙の組み合わせ (スコア:1)
テキストでは、サーバごととかサイトごとに、ユーザ名とともに
4系とかp系とか記録しておいて
紙の方には
4系: cyclon4you
p系: may the perl be with you
とか フルスペルの内容を書いておく。
紙の内容は できるだけ記憶しておいて、思い出せない場合のみ紙を参照。
Re:テキストと紙の組み合わせ (スコア:1)
あと、4系大文字小文字とか 4系小文字のみとか
p系区切りなしとかで、完全な使い回しを回避
ブラウザがキャッシュしているパスワードを盗むことを理由 (スコア:0)
毎回、パスワードを打っているんだろうか。
Re: (スコア:0)
「Emotetに感染した場合」
あらゆるマルウェアに感染した場合を想定して全て対処するんだとしたらすごいですね
まともに仕事できなくなりそうな
Re: (スコア:0)
ブラインドタッチが出来ない人にとっては苦痛なんだろうな
Re:ブラウザがキャッシュしているパスワードを盗むことを理由 (スコア:1)
ごめん、タッチタイピング派なんだ
Re: (スコア:0)
おさわり派ですかそうですか
Re: (スコア:0)
ブラインドタッチが出来ない人にとっては苦痛なんだろうな
意味不明
Re: (スコア:0)
てか無効化は可能なの?
それ以外は公開鍵認証とMobaXterm任せかなぁ。
アプリはほだいたいが自前で覚えとるしね。たまに忘れてるときあって困るけど。
Re: (スコア:0)
malware 感染を前提とするのであれば、毎回パスワードを打ってるとキーロガーで盗まれるわけで論外でしょうね。
そこまで要求するところは、物理的な認証デバイスを導入するしかないような。
何も考えない (スコア:0)
Emacsを使ってパスワードを~/password.gpgにでも書いておけばいいだけじゃね?
そうしとけば開く時に勝手にパスフレーズを聞いてくる。
それ以外は通常のファイルと同じ扱い。
国産パスワード管理ソフト (スコア:0)
ID Managerは日本語ソフトで国際的な知名度が低くハッカー・マルウェアに狙われにくそう
Re: (スコア:0)
単なるテキストで保存してる
Re: (スコア:0)
同じく。
もちろんローカルには置かない。
社内ネットワークにログインできている時点で、開発用サーバーとかどうでもいいよね。
keepass (スコア:0)
パスワードマネージャkeepassで管理しています。
Re: (スコア:0)
個人用は KeePass 2 で管理してるけど、社用とかで利用するには壁が厚くて嫌になりますよね。
結局 Excel にパスワードかけて共有するくらいしか思いつかない。
漢は黙って付箋紙 (スコア:0)
Re:漢は黙って付箋紙 (スコア:1)
過去形で済ませられるのですか?
Re: (スコア:0)
ホワイトボードにメモってのもありましたな
#最近、ラノベのタイトルをパスワードにしたら文字数も多くて最適。新刊がでるごとに更新もできる。ただ、文字数多くて弾かれることも多いのが難点。
Re:漢は黙って付箋紙 (スコア:1)
シーザー暗号 [wikipedia.org]。
「ブラウザがキャッシュしているパスワード」 (スコア:0)
それ、ブラウザ内蔵のパスワードマネージャーから、暗号化なしで保存されてるパスワードをコピーするというだけの話で
普通のサードパーティパスワードマネージャーは、パスワードは暗号化して保存するしましてやブラウザにキャッシュさせたりしないのでは…
認証つきのwiki (スコア:0)
共有サーバーのrootパスワード等は、どうしても複数ユーザーが参照できるようにしておく必要があるので
ユーザー認証つきのwikiに書いてますね。
wikiはLinuxサーバーで動かしているので、それ自体はEmotetへの感染はないはず。
Re: (スコア:0)
>どうしても複数ユーザーが参照できるようにしておく必要があるので
それ禁止されました。
複数ユーザが区別できるように、個人ごとに独立のアカウントを作成し、それぞれでadministrator権限を付加するようになりました。
Re: (スコア:0)
root(WindowsならAdministrator)が存在する以上、そいつをどうするかって話だろ。
普段の作業は各自のアカウントで管理者権限行使出来るようにしておいてrootを使わないのは当然。
それでもwikiはないな。
xlsxにパスワードかけて保存してるのと変わらん。
ローカルに入られなくともバックアップとか情報流出とかでやばいじゃん。
それともファイルを暗号化するwikiなんてあるのか?
Re: (スコア:0)
> 普段の作業は各自のアカウントで管理者権限行使出来るようにしておいてrootを使わないのは当然。
ですね。
ssh公開鍵認証でログインできるようにしてあり、管理者権限についても有象無象な開発サーバーについては NOPASSWD で sudo できるようにしてあるので、root 以外はパスワード自体が不要です。
5分間端末を触らないとスクリーンセーバーを起動して端末のパスワード入力を要求するのがルールになっているので
NOPASSWD でもそれほど危なくはないです。
部門サーバーについてはパスワードを設定してあり、sudo 時に一応パスワードを要求するようにしてますが。
なおサーバー類
Re:認証つきのwiki (スコア:1)
なおサーバー類は鍵付きのサーバールームに置き、root でのリモートログインは禁止してあるので、
管理者の入れ替わりがあっても root パスワードを変更する必要はなく、サーバールームの入室権限だけ
変更すれば問題ありません。
rootのリモートログイン禁止に加え、suを禁止(もしくはsuを実行できるユーザを厳しく制限)してる、って話ですよね?
管理者の入れ替わりはどうしても避けられないので、共有パスワードのたぐいで頑張るよりも
バックアップメディアを安全な場所で管理する方がマシだと判断してます。
他には、n人の内、m人がパスワード認証しないと復元できない、みたいな仕組みはあり得る気がしますね。
そんなバックアップソリューションあるのかな? ありそうな気はしますが。
Re: (スコア:0)
普段使ってるアカウントにAdmin権限付けるのもこえーな。特にDomain Adminともなると。
一人情シスだけど、他の一般社員とほとんど同レベルの権限で、必要な時だけAdminでログインしてる。
Linuxサーバなんかは個人アカウントで入って、suとかsudoしてるけど。
偉い人があのフォルダも見れるようにしろ、このフォルダも見れるようにしろと危なっかしくて見てられない。
あなたのアカウントに何かあった時えらいことになりますよ?と言っても聞かないし。
うーん (スコア:0)
・推測されにくい複雑な文字列を使用
・文字数を長くする(12桁以上)
・パスワードは使いまわさない
・定期的にパスワードは変更
となると、個人の記憶力に頼る方法は心許ない。
Emotet対策として、ブラウザにパスワードを登録しないことであってパスワード管理ツールを使わないことではない。AESのような安全性の高い暗号化技術でパスワード情報が守られていてパスワードデータベースへのアクセス方法がos やブラウザなど他と共有しないパスワード管理ツール固有のものであればよいのではないか。機密情報を含んだデータの漏洩対策としては堅牢な暗号
強固なユーザ認証があれば防げるのでパスワード管理ツールを使わせない、というのは無理がある。
融通の効かない運用ルールの遵守を求めることが、セキュリティホールになる。最近ではパスワード管理用の手帳やメモパッドが売れているようだけど、これらを紛失して第三者の手に渡ったらダメじゃないか。
パスワード管理ツールの使用を禁止ではなくて、会社のセキュリティポリシーに適したパスワード管理ツールを調達して使用を推奨すれば良いだけの話。
紙に (スコア:0)
紙(メモ帳)に書いて、持っている。
会社がパスワード管理ツールを支給すべき? (スコア:0)
なぜパスワード管理ツールを支給する会社は少ないのか?
これはガイドラインの推奨策やベストプラクティスに載っていないからだ
ではなぜパスワード管理ツールは推奨されないのか?
それはパスワードは頭で覚えるものだからというのがセキュリティ専門家の見解だからだ
Re: (スコア:0)
パスワード管理ツールがクラックされたらどうするのかねパスワード管理ツールの提供元が裏切ったらどうするのかね。
うちはファイルサーバ上のエクセルで管理してます。
Re:会社がパスワード管理ツールを支給すべき? (スコア:1)
それはその通りなんだけど、過去そう言われていた時期があって、その時決めたルールがずっと死なずに残り続けてる、ってことはあるんだよな。
で、関係者の知識も更新されてないとか、更新されたとしても、「ルールを緩くして、もし問題が起こったらどうするんだ! オレが責任者の内はそん余計な事するな!!」みたいなことが、あるとかないとか。
単純にテキストに保存している (スコア:0)
グループウェアにメモ目的のテキストを保存する領域があるのでそこに。
とりあえず覚えておくのは無理。パスワード作ったことから忘れる。
平文ファイルで管理 (スコア:0)
昔はテキストファイルで管理していた。
今はワンノートのクラウド同期になりパソコンが変わっても即座に確認できる。
//勤務先のルール上アカウント情報にも機密度レベルの区分があり高レベルなものはファイルに記録するブラウザに保存するなどするなということになっているが確信犯的に無視している
忘れる前提で毎回再発行 (スコア:0)
毎回パスワード再発行を行って、複雑なパスワードを生成してつけなおす。
GitHub のPAT (スコア:0)
パスワードは記憶して手で毎回うってるけど、GitHub のくそ長いPAT(Personal Access Token)は
記憶できないのでGCM(Git Credential Manager) でWindows の資格情報マネージャに登録してる。
この資格情報マネージャが安全なのかどうか不安がある。
マルウェアに感染したらアウトだと思ってる。
胸ポケットの手帳。 (スコア:0)
もちろん独自の「難読文字」で。
しかもすごくシンプルなルール(アルファベットは大文字と小文字を反転して表記、とか)を適用。
金のある会社なら (スコア:0)
エンドユーザーのパスワードとかはOTP必須で自分で管理させる。デスクトップとか基本サービスしか利用できないようにしてそこから重要システムへのアクセスはFWとかでコントロール。
PWをもっとしっかり守りたいサーバとかサービス用アカウントはOTPシステム入れて、そこで都度有効化させてログを残しつつ数分で失効するOTPを毎回使わせる。
でもそこまでできる会社はなかなかないよね。
手帳に書いて鍵付きBoxに入れて鍵付きの引き出しに保存 (スコア:0)
覚えられる範囲は覚えておいて、忘れたときように手帳に書いて鍵がかけられる場所に保管
ネットワーク経由での流出と同僚による窃視・窃盗を主な原因と考えて行動すればいいんですよ
開発環境は (スコア:0)
外との通信が基本全部塞がれていて外部API使いたい場合は申請して解放して貰うようになってるけど
SSHはYubiKeyの指紋認証のが配布されてるのでそちらを使う
基本多要素認証はYubiKeyに寄せてるけどOTPも使えるようにはなってる