5.17認証情報

1．パスワード等の発行や割り当て時の注意点

パスワード等を発行する場合は、必ず本人確認をしましょう。

また、最初に発行するパスワード等（所謂初期パスワード）は、推測されにくいものを設定もしくは生成し、割り当てられた各自が速やかに変更するように要求しましょう。

2．パスワード等を利用、保管する際の注意点

従業者には、パスワードを他者に知られることが無いよう指導しましょう。また、パスワード等が漏洩した場合、もしくは、そのおそれがある場合は、変更するように指導しましょう。

3．パスワードの質についての注意点

従業者には推測されやすいパスワードを設定しないよう指導しましょう。また、パスワードを使いまわさないよう指導しましょう。

4．推測されやすいパスワードとは？

• 対象者の個人情報に関連する情報（例えば電話番号や生年月日等）
• 単純な文字や数字（1234、0000、aaaa、abcd等）

といったものです。なお、複雑なパスワードとして、英数記号大文字小文字などを混在させたものが考えられますが、近時では単純に桁数や文字数が多いパスワードのほうが強力と言われています。これは総当たり攻撃に対する耐性と考えられます。

5．定期的なパスワードの変更は有効？

意味が無いとは言えませんが、変更に伴うリスク（パスワードの使いまわしや記憶しきれないことによる保管リスク等）を考慮すると疑問があります。ただし、止むを得ず共有パスワードを利用している場合は、退職者や異動者等が発生する都度変更しましょう。

6．覚えやすいパスワードとは？

パスフレーズなどの利用が推奨されています。パスフレーズとは、パスワードの一種で、単語を繋げたりして長文化したものを指すことが多いです。例えば、「teikokudatabanknetcommunication」だと31文字になります。

ただ、これだと覚えやすいですが弊社のパスワードとして利用すると推測されやすくもあるのでイマイチです。また、「teikokudetabankunettokomyunikeisyon」のようにローマ字読みに変換したりといった工夫も考えられますが、入力ミスが増えてしまいましたので、あまりに凝ったパスフレーズも考えものです。

7．システム上の注意点

まず、パスワード入力試行回数は制限を設けるようにしましょう。よくある一定回数誤ったパスワードを入力するとロックされるような仕組みです。パスワードの変更を求めた際、過去の利用したパスワードの再設定を弾くような仕組みや、前述したような推測されやすいパスワードや文字数の少ないパスワードを弾くような仕組みも有効です。

また、単純ですが、目視でパスワードを盗まれないよう、入力したパスワードが識別できないように表示するような仕組みも検討しましょう（入力した文字や数字等が「＊」で表示されるような仕組みです）。同じ目的で、キータッチを視認できないような衝立やカバー等の設置も検討の余地があります（ATMのような感じですね）。