これでも大学職員のブログ

「はてなダイアリー」から「はてなブログ」に移行しました。※旧URLにアクセスするとリダイレクトされますのでご安心を。

これでいいのかパスワード運用

今回は「山口東京理科大学」「長崎外語大学」を取り上げさせていただきました。

最近多くの大学で「共通認証」の仕組みが取り入れられています。要は学内のどのシステムでも同じIDとパスワードで入れる仕組みです。
しかしいくつかの大学サイトを見ていると「あれっ?」と思うことがあります。それは、情報センター管轄のサイトでは認証画面はどれも「https」で統一しているのに、他課(図書館ポータル等)では「http」だったりするのです。
意味無いじゃん!
共通認証」で、暗号化サイトをいくつも用意していても非暗号サイトが1つあるだけでセキュリティは思い切り低下します。(実は「http」でもちゃんと対策しているところもあるとは思う)

てなわけで、今回は「ん?」と思ってしまうパスワード管理についてです。
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
(続き)
まずは「山口東京理科大学」です。

以下抜粋です。
安易なパスワードを使用している学生には、パスワードを変更するよう個別にメールにて通知しました。〜(省略)変更しなかった学生に対しては、本日6月25日パスワードを強制変更しました。
何かのツールを使ってパスワードの総チェックをしたと思うのですが、この作業自体どうなのかなと考えてしまいました。
そりゃ安易なパスワードを第三者が見破り、そこがセキュリティホールになる危険はありますが、管理者といえど、ユーザのパスワードを調べてしまっていいものかと。。
メールをした学生に対して「あなたのパスワードを見破りましたよ」と言ってるようなものです。
また、私が学生だったら「パスワードを変更しなさい」なんてメールがきたら、怪しみますよ。
(あるいは無条件にゴミ箱行き)


次は「長崎外語大学」です。

このページの2006.4.5付の「Webメール復旧のお知らせ」。
文中に「数字の9が8個「99999999」の全員共通パスワード」とあります。このまま解釈すると、一定期間は誰でも他ユーザの情報が見られてしまう状態だったことになります。
(それができなくとも、他ユーザのパスワードを設定できてしまう状態だったのでは?)
何だか恐いです。
※それにしても、どういうトラブルだったのだろうか。かなり重症だったとみた。


あと、いまだ多いのが「初期パスワードが生年月日」のところです。
情報センターでそのように設定しているところはあまり無いですが、他の課独自で運用しているシステムで多く見られますね。


試しにgoogle等で以下文字列("も含めて)で検索してみると、わんさか出てきます。
"初期パスワードは生年月日"



そもそも「アカウント(ID)=学籍番号」て事自体が問題ありますよね。
(更に1文字追加している大学もありますが、実質大差は無い)
同じにしている理由は簡単。大学が管理する上で「学籍番号が一番楽」だからです。
学生は一律学籍番号で、教職員は自由に命名OK、は何だか不公平ですね。
※といいつつ、私の勤務する大学もそうだったりします。。


にほんブログ村 教育ブログ 大学教育へ