- PR -

パスワード情報はシステム情報かユーザ情報か?

1|2|3 次のページへ»
投稿者投稿内容
ファインコート
会議室デビュー日: 2002/11/01
投稿数: 11
投稿日時: 2002-11-01 11:14
セキュリティに関わっているものです。
世の中のセキュリティ情報で「ユーザのパスワードが漏洩される」というような情報はよく見かけるのですが、この「パスワード情報」を、例えば、「システム情報」と「ユーザ情報」に分類した場合、どちらに近いのでしょうか?
システムにログインするために必要な情報なのだから、自分としては、「パスワード情報」は、「システム情報」と思っているのですが。
よろしくお願いします。
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2002-11-01 11:35
ファインコートさんは「システム情報」と「ユーザ情報」は、
どのように定義されているのでしょうか?

私のイメージとしては、おおまかに
システム情報:システムの稼動状況やハード的な情報、
       インストールされているソフトウェアのバージョン情報など
ユーザ情報 :ユーザが個別に持つ情報

であるから、パスワードはユーザ情報です。
また、私の所属しているところでは、パスワードに関しては個人で責任を持って管理し、
パスワードがわからなくなった場合は、基本的に教えるのではなく初期化します。
そして、すぐログインしてもらい変更してもらいます。
管理主体が社員にあるので、ユーザ情報であると思っています。
atlan
ベテラン
会議室デビュー日: 2001/08/15
投稿数: 66
お住まい・勤務地: 東京
投稿日時: 2002-11-01 11:44
例えば@ITはメンバーIDはメールアドレスですが、インプレスも同じくメールアドレスです。
こんな場合に同じパスワードを使用していた場合にはここのパスワードが漏れるとインプレスのサイトでも使用できてしまう・・・

という事で社内用のアカウントで有っても同様な事は沢山有りますから、「誕生日」とか「電話番号」と同様に個人情報として扱うべきだと思います。
ファインコート
会議室デビュー日: 2002/11/01
投稿数: 11
投稿日時: 2002-11-01 13:11
BASEさん、atlanさんアドバイスありがとうございます。

私としては、
システム情報 システムの稼動のために必要な情報
ユーザ情報  ユーザ固有の情報(システムの稼動のためには必ずしも要しない情報)
という、イメージがあります。
つまり、パスワードが漏洩してそれが悪用されると、そのパスワードを使用しているシステムにログインできる、すなわちシステムを稼動させることができる可能性がある。
よって、上記の分類がもし正しいとすると、パスワード情報はやはりシステム情報のように思えるのですが。

これは、私がパスワード情報を、(あるシステムの)セキュリティの脆弱性の観点から考えてるからかもしれません。

しかし、システム管理の観点から考えると、パスワード情報は「ユーザ情報」なのかもしれません。
hirarin
常連さん
会議室デビュー日: 2002/02/28
投稿数: 45
お住まい・勤務地: 長野県松本市
投稿日時: 2002-11-01 17:16
あるグループウェアソフトは,管理者であってもユーザーのパスワードを知ることは出来ません.(もっともデフォルトでは空白,ログオン時にユーザーに決めてもらうことが前提で,管理者からパスワードを供給していない場合ですが)
パスワードを忘れた場合は,空白に戻しすぐにパスワードを変更してもらっています.
そのため,今回の質問に対してはユーザー情報である.と私は思います.
ファインコート
会議室デビュー日: 2002/11/01
投稿数: 11
投稿日時: 2002-11-01 18:02
hirarinさんアドバイスありがとうございます。
hirarinさん他皆さんの意見は、すべて、パスワード情報は「ユーザ情報」ですね。
私も、個人のパスワード情報はユーザ情報であると思えてきたのですが、それでは、「パスワードファイルが盗まれる」といった場合はどうでしょうか?つまりユーザ全員のパスワードが盗まれてしまう場合です。この質問は、私の最初の質問とは違うのですが。
こべっこ
常連さん
会議室デビュー日: 2002/06/22
投稿数: 20
投稿日時: 2002-11-01 18:59
途中参加です。
引用:

それでは、「パスワードファイルが盗まれる」といった場合はどうでしょうか?つまりユーザ全員のパスワードが盗まれてしまう場合です。

ユーザ情報だと思います。どこにパスワードファイルがあるかということはシステム情報
ですが、パスワードファイルの中の情報はユーザ情報だと思います。

私は次のように定義しています。盗まれて困るのは、
システム情報・・・・・開発者が困る(ノウハウの流出や破壊に繋がるため)
ユーザ情報・・・・・・ユーザが困る
「セキュリティ」というときにも、システムを壊されるリスクとプライバシー情報が流出
するリスクとが混在しているので、ちゃんと分けて考えないといけないといけません。
ユーザ情報が漏れる方が被害は大きいです。

例えば、Webサーバのスクリプトで、「ソースコードが見れちゃう」というバグが
ちょいちょいありますが、これを「システム情報が見れちゃう」と考えれば、
「オープンソースだ」で済んじゃうのですが、そこにDBへのパスワードがハード
コーディングされているケースは、そこからユーザ情報にアクセスできるケースも
あるので、大きな被害になります。
ファインコート
会議室デビュー日: 2002/11/01
投稿数: 11
投稿日時: 2002-11-01 21:07
こべっこさんアドバイスありがとうございます。
「パスワードファイルの中の情報」すなわち個々のパスワードは確かに「ユーザ情報」のようにも思えるのですが、「パスワードファイル」という全体(すなわち、パスワード全部)としてみた場合、それはシステムから見ると「システム情報」に相当しないか、ということです。

こべっこさんの定義だと、
システム情報・・・・・開発者が困る(ノウハウの流出や破壊に繋がるため)
ということなのですが、この場合も、
もし「パスワードファイル」中のパスワードが漏洩した場合は、そのパスワードが悪用されてシステムにログインされる可能性もあるので、データが破壊されたりする可能性もあり「開発者」も困るのではないでしょうか?なので、こべっこさんの定義においても、パスワード情報は「システム情報」の面もあるように思えます。

また、「パスワードファイル」で、
例えばUNIXの/etc/passwdファイルは、あれはシステムファイルなのでは?

私は、システム管理というよりは、システムの脆弱性という観点から「パスワード」というものを考える傾向が強いので、こう思うのかもしれないのですが。
1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)