クラウドサービスもいいけど、オンプレミスを公開するパターンもなかなか・・・。
クラウドサービスを使うにしても認証を社内Active Directory とパスワードを合わせたいなどと要求を出すと、どうしても、オンプレミスのサーバーを公開する必要が出てくる。
そういう時、どうやってセキュリティーを高めるのか考えてみる。
ユーザー認証の強化の方法
IDを複雑にするのは運用上問題が多いので、パスワードを強力にするしかないけど現実は難しい。
「大文字、小文字、数字、記号の4種類を使って8文字以上かつ、誕生日、住所、電話番号、家族の名前、家族の生年月日、記念日に関連する情報は使ってはならない。パスワード変更の履歴は5個、同じパスワードを連続して設定できない。パスワードの有効期限は3か月」なんてルールを強制されたら、付箋とかノートにメモするよなぁ~
ワンタイムパスワードや乱数表を使うってのはパスワードをユーザーが覚えなくてよいメリットはあるけど、カードなどの管理や持ち運ぶのが面倒。10個のサービスすべてがワンタイムパスワードを採用して、カードを10枚持ち歩くなんて嫌だよね。
スマートカード、対応機器限られてるし~盗まれたらどうするの?4桁数字のPINなんて・・・
生体認証・・・機械どうするの!!一度複製されたら使えないよね~
などと、複雑化すると問題が出てくるので運用に耐えられない。
個人的には5文字以上で有効期限は40日とかでいいんじゃないかと思う。
銀行とかで使われている数字4桁なんて、だれかの誕生日に設定しろ!!と指示しているのと一緒だよね。それがダメというなら01**~12**、**01~**31の範囲くらいは設定できないようにしとけよ~って思う。なんで5桁にしなかったんだろう?と思う。5桁ならとりあえず誕生日+一文字とかにするので簡単に推測しにくく出来るのにね~~
有効期限も1か月単位で変更しにくいように微妙にずらすとか・・・
0401(mmdd)
130401(yymmdd)
20130401(yyyymmdd)
このパターンを設定しにくいルールを決めれば、それなりの強度を保てると思うんですけどね
パスワードのヒントもやめてほしいよなぁ~「初めて就職した時の初めての上司」??誰だよそれ~