友人の会社の業務監査員が「パスワードを定期的に変えているか」とかウルサイらしい。パスワードの管理を一部の人間に任せるというような、昔ながらの方法しか頭にないのだろう。今どきパスワードの管理をシステム管理者だけに任せるなんてありえんだろ。
パスワードの定期変更という“不自然なルール” (1/4)とかにも書かれてあるとおり、パスワードの定期的な更新よりも破られにくいパスワードにすることのほうが重要なのは言うまでもない。というか、パスワードはシステム管理者もわからないからパスワードになり得る。初期設定はシステム管理者が行うのは致し方ない。しかし、その後の管理はユーザーに委ねるべきで、システム管理者のやることはユーザーの教育やセキュリティに関する情報の伝達だろう。
業務監査員もそんなにパスワードパスワード言うより、指紋認証とか声紋認証とか、そうそう簡単に破られないものを導入するよう会社に提案しろって。アホかこいつら。
と友人は憤っていた。確かにアホな業務監査だなぁと思った。