パスワード定期変更の問題。

「自宅の鍵を定期的に取り替える佐藤君(仮名)の話 | 徳丸浩の日記」をほげほげと見ながら、これだけでは必要かどうか検討しようにも検討しようもないなあと思った。


「定期更新の必要性は感じていない、が、表側で主張する程必要ないとの根拠を持っていないから言ってない」という所でのモヤモヤなだけな気がするんだけど。
定期更新の必要性は、「ない」というのは検討しにくい。だからこそ、1ヶ月だとか3ヶ月だとかよく分からない「期間」が設定されていたり、する訳で。


鍵の話で言うと、例えば、共通で利用する鍵があるのなら、そういうのは定期交換した方がよいのだろう。
一定期間同じIDを使わざるを得ず、社内など信用に足る人だけではなく社外の人にもそのユーザを使わせる、という事態は有り得なくはない。
システムとして一ユーザ割り当てればよい、というのは無論あるのだが、様々な権限管理と絡まって二進も三進もいかない構成になってしまっているのかも知れない。


あと、例えばログインアラートなどの機構は正しく設置されていれば使えるのだが。
そうでもないのが難点。
自分の業界では監査証跡というのを取るシステムが異様に増えているが、大抵「想定どおりの動きをしていれば分かるが、想定どおりの動きをしていないユーザは無理」とかあったりする。ログインアラートはそんなものよりは遥かに問題が少ないと思う(認証周りのログをしっかり取ればいいはずだから)が、ただ、正確に取れば人間が理解しきれないログを取るし、理解しやすい用にログを取るとそこに乗りにくい形で悪いコトをする人が出て来る。


「一般的には」言えるけど、あまり正しく設定されているとは言い難い環境である可能性というのは結構あり。
いやまあ、適切なパーミッションというのが本当に適切に設定されていればいいのだけど、これが、うん、まあ、ねえ。