パスワードの管理

システム管理者といえども、利用者のパスワードを知るべきではありません。

パスワードの付与

最初にシステム管理者が利用者に仮パスワードを付与するときは、上記の「よいパスワード」になるようなランダムな文字列を与えて、利用者が最初にアクセスするときに、自分でパスワードを設定させます。

パスワードの変更

利用者は、できるだけ頻繁にパスワードを変更するべきです。また、一定期間あるいは一定アクセス回数のたびに、強制的にパスワードを変更させる仕組み、８文字以上とか文字種混在の条件を満たさないと受け入れない仕組みなどが必要です。

パスワードの失念

パスワードは本人以外は知るべきではありません。システム管理者も同様です。本人がパスワードを失念したときは、まず、そのユーザＩＤでの利用を禁止し、改めてユーザＩＤ（同じでもよい）とパスワードを再発行するようにします。

パスワード記録の禁止

パスワードを書いた付箋をパソコンに貼るのは論外。手帳に書くのも落としたとき困ります。特に重要なのが、パソコンの紛失・盗難・廃棄への考慮です。パソコンにパスワードを残さないために、「パスワードを記憶する」にせず、毎回入力させるようにします。