c2f058cb

パスワードは誰が管理すべきかですか・・・
誰でもいいと思います。
ようは、不正な第三者に見られなければいいので。


この点に関する過去問があるので、みてみよう。
利用者のパスワードを変更する方式には2案ある。一つは,利用者が自分で変更する方式であり,もう一つは,情報システム部が一括して変更し,それを利用者に通知する方式である。しかし,情報システム部が一括して変更し,それを利用者に通知する方式では,③情報セキュリティ対策上,望ましくないので,利用者が自分でパスワードを変更できることを要件として設定した。

設問3 本文中の下線③で,望ましくないとしている理由を, 40字以内で述べよ。(H20秋SU午後2問1)

試験センターの解答例は以下である。
特に2つ目が重要だ。
・パスワードを本人に通知する過程で漏えいするリスクかおるから
・その利用者IDを利用した者が,確実に本人であることを保証できないから
知識認証であるパスワードというのは、本人しか知りえない情報を使って認証するから、第三者が不正にアクセスすることができない。同時に、その本人がアクセスしたという大事な証拠になるのだ。
db2fc28c
なるほど!
これは、全員が同じパスワードを利用する場合も同じことが言えますね。
社内システムでは、全員が共通のIDとパスワードでログインしているものがあります。それだと、社員以外の人は使えないという秘匿性のメリットはあります。でも、誰かが不正利用したとしても、その特定ができません。