Scribble at 2024-11-06 10:07:57 Last modified: 2024-11-06 14:34:43
IDやパスワードなどのユーザアカウントを一元管理するシステムを手がけるOktaが、「ユーザー名が52文字以上だとパスワードによる認証を回避できる脆弱(ぜいじゃく)性」が2024年7月23日から約3カ月間にわたって存在していたと発表しました。
まだ手を付けていないのだが、パスワード(を含む機密情報)の管理システムとして、クラウド・サービスを選択するのは間違いであるという論説を書く予定がある。というか、情報セキュリティの管掌をあずかる企業の部長として、既に社内では研修ビデオなどで解説していて、会社として正式に禁止はしないが、できるだけやめるべきとは伝えている。異なるデバイスや場所でパスワードなどの情報を共有したいなら、既に会社で Dropbox を導入しているのだから、パスワード管理のアプリケーションが使うデータベースを Dropbox に保存すればよく、仮に Dropbox で事故があってファイルが漏洩しても、高度に暗号化されたファイルだけでは情報を復元できないのだから、それなりに安全性は高い。
また、クラウドだけではなく、僕はセキュリティ・ソフトをリリースしている企業が提供している、無料版のパスワード管理ソフトも避けたほうがいいと思っている。理由は簡単で、そのソフトウェアが更新情報を取得するついでにサーバへ情報を隠れて送信したり、あるいは Adobe のようにパソコンへ Node.js をインストールしてウイルスまがいの動作をさせているといった危険性がないとしても、セキュリティに関して特定の会社にロック・インしてしまうのは、これにも一定のリスクがあるからだ。