~攻撃は最大の防御なり~正解のない対策を斜めから斬る

「パスワード教えてくれ!」って誰も言わないけど、ヒントは喋っているし知られてるもの(その2)

»

唐突に「パスワード教えてくれ!」って言われても、まず教えないですよね。それ以前の問題として、教えなくても知られてるとか、貼っているとか、パスワードなんて使ってない!・・・なんてのは論外です。

先日のANAの不正アクセスで「もう一度考えたい」パスワードのはなし(その1)の続きです。

パスワードを知らない人はいないけれど、「その重要性をわかっている人」はどれだけいるのでしょう? 少なくとも「それを知っている=その重要性もわかっている」ではないと感じております。

以前、そんなに簡単にパスワードを聞くか?に書きましたが、聞く責任(聞いてしまう責任)ってのもあります。聞く⇒答えるとか教えるなど、ものにもよりますが、聞くことは難しいことではありません。ただ一つ覚えておきたいのは、責任が伴ってくるということです。極端な話、聞いてないことは、知らないから、喋りようがないということです。情報漏洩などで考えれば、知らないものは、漏らしようがありません。

で、そのブログに書いたつもりで探したのですが、どうも書いてなかったネタがあります。以前にとある端末の操作時、係の人が丁寧に教えてくれたのは有り難いのですが、パスワード入力時にも「横に立ったまま」動かなかったことがありました。さすがに「すみません、お明日ワードの入力画面なので・・・横向いてくれませんか?」とお願いしたら、怪訝そうな感じでした(笑) 
客先等で同じような場面になることがありますが、教習所の踏切手前でやるような「オーバーアクション」をするようにしています。相手がどこまで気にしているか?ではなく、プロとしての礼儀というか、当たり前のことと思っています。同じく「見てないものは、知りようがない」のです。
ちなみに、肩越しに入力パスワードを見ることを「ショルダーハッキング」と言いますが、これは「横からガン見ハッキング」? お行儀がよろしくないですね。この件とは関係ないと思いますが、その後ニュースになるようなセキュリティ事故を起こしました。

タイトルにあるように「パスワード教えてくれ!で、教えなくとも、ヒントになるようなことを自ら喋っていること」が実に多くあります。もしくは、既に知られているような内容だったりと・・・

誕生日とか、電話番号などを使っていると、財布ごとなくした場合に「持ってけ泥棒!丸見え状態」なわけです。キャッシュカード、クレジットカード等々、全部入りだったりと。

他人のパスワードを使った場合、もちろん犯罪行為ですが、出来れば紛失したくないし、万一紛失盗難にあっても、その先進みにくい状況だけは準備しておきたいものです。

直接パスワードを知っていれば、色々と出来ることも多くありますが、間接的にパスワードに行き着くための「ヒント」をクシャミしてウィルスが飛沫するようにばらまいていることに注意してみることも必要です。聞き出すことが得意な人ならば、日常会話の中から「ヒント」を探り出していくことも難しいことではありません。

もう一つ、パスワードとセットで登録した「忘れたときのための合い言葉(リマインダー)」に注意しなければなりません。万一パスワードを忘れた時の「合い言葉」なのですが、これが実に弱いのです。これを読んでいる方ならば登録した記憶もあるとおもいますが、そもそもの質問が簡単過ぎて、それを素直に答えているろことに問題があります。その簡単な質問を会話の中から聞き出すことや、それ以前に自ら喋っているような内容だったりします。なぜならば、簡単な質問だからです。

直接的にパスワードを聞けなくとも、間接的(リマインダー等)に知ることは出来ますし、間接的な中に直接的なヒントやズバリそのものが含まれていることもあったりします。まぁ最近は、リマインダーも画面上だけで完結せずにメールで送ってくるなど、それなりの方法になっていますが、再度確認してみたいものです。

パスワードの重要性をわかっていれば、少なくとも「それらに繋がる」ことは滅多に喋らないでしょうし、リマインダーの答えも同じく「関連性の見えないもの」にすると思いませんか? 今からはじめる機会にしましょう!

パスワード関連の過去ブログ

いつになってもたいして変わらない「パスワード」の問題点

ヤフーのパスワードと秘密の質問流出を機会に「改めて自分のパスを見直す方法」

パスワードの問題が多くあるのに、なぜ変えないのですか?

パスワードを忘れてしまった時の「秘密の質問」を誰にもわからない答えにする方法

パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!

5点と4本の線で作る「Androidの指パスワード」強化法

Comment(2)

コメント

ardbeg32

面白いことに、ITリテラシーの低い上司には、「パスワードは情シスが管理してしかるべき、グループウェアのパスワードは利用者に断らなくても勝手に使って良い」という固定観念をまるで崩さないということ。
いやそれはプライバシーの侵害だとか真正性が保証できなくなるとか言った所で馬耳東風どころか業務をサボタージュしていると立腹する始末。

ardbeg32さん、コメント有り難うございます。

笑えないくらいの現実ですよね。仕舞いにはサボタージュって(笑)
これだけ多くのIT機器、サービスを使わなければ仕事にならない現状において「この程度」の認識しか持たず、しかし業務はどんどん進んでいく。。。自己(事故)責任って何?と心配になってきます。
企業で最も多い一般従業員(情シス系以外)の方々が「意識の底上げ」をしなければ、弱い鎖のままですよね。事故や問題が起きた時=鎖が切れた時って考えると、何ともコワイです。

コメントを投稿する