『日本版SOX法対応』とかいって、ID管理製品などが多いに注目されている。
IDとともにパスワードも管理される訳だが、パスワードを強固なものに設定しておかないと意味がない。今でもアプリケーションによってはパスワードの最大長が短かったり、使える文字の種類が限定されていたりするのだろう。例えば、JALマイレージバンクは"半角数字6桁"。せっかくのID管理製品を導入して企業内の様々なシステムのIDとパスワードを統一して管理しようとしてもこのような脆弱なシステムが1つでもあれば結果的にシステム全体の脆弱性につながるわけだ。

自分のパスワードが安全なのかどうか。いかに強固でクラックされないものかはパスワードクラックツールなどを使って実際に試してみると良いだろう。

• John the Ripper password cracker
  http://www.openwall.com/john/
• Word Lists
  http://www.outpost9.com/files/WordLists.html

こんなことを書いたのは、最近のニュースサイトでは『日本版SOX法対応』、『ID管理製品』、『内部統制』といった言葉をよく見かけるようになったが、そのような製品を導入するだけでなく、システム全体としてのセキュリティ属性を安全に管理するということを考えて欲しいから。
ベンダーとしてもそのような提案ができるようにしていきたいし、そうしなければいけないのだ。