by 唐草 [2022/09/08]
毎年公開されるひどいパスワードランキングのトップ3は長らく変わっていない。”password”は、もはや絶対王者だ。国や言語に関わらず世界中で不動の地位を築いている。パスワードという概念が存在する限り、この王者を引きずり下ろすことはできないだろう。
ひどいパスワードが使い回されるのもしかたない。安全だとされる理想的なパスワード、つまり辞書に載っていない言葉で、個人と無関係の数字を含み、記号と大文字小文字を含み、他で使いまわしていないものなんてそう簡単に思いつかない。思いついても、そんなものを覚えられない。抜群の記憶力で暗記できたとしても入力したくない。
常に楽な方へと流される人間の性を考えれば、パスワードが”password”へと帰着するのは当然のこと。
ここでパスワードに関する大胆な提言をしたい。
Twitterにも書いたが、サーバのroot(最高管理者)パスワードは”password”にするべきだと提言したい。
それを付箋に書いてモニターにも貼っていいし、なんならSNSで「うちのrootパスワードはpassword」と宣言したって良い。
まるで進んで鍵を差し出せと言っているような提言に聞こえるかもしれない。実際のところ、そう言っている。でも、これはある逆説的な考えに則っている。
パスワードがどんなに複雑なものであれ、攻撃者がrootのパスワードを入力できる状況にになったらすでに負けと考えよ。つまり、パスワードを”password”にしても安全が保てるような環境でなければダメだということ。これがぼくの意見だ。
ファイアウォールでガチガチにアクセスを制限して、特定のIPアドレスからしかログインできないようにしておく。そして、そこからも生体認証PCに保存されたパスワード付き秘密鍵がなければログインできないようにする。さらにログインできても限られたユーザ以外rootになれないようにしておく。これぐらいすればrootのパスワードなんてなんだっていい。ぼくはこれを鉄壁の中の砂場と呼んでいる。
まぁ、ここはそうなっていないけれど。