質問
ウチの場合は
1)情シスが全員に「o日までに新パスワード(以後PW)を申告しなさい。x日17:00に一斉に切り替えます」とアナウンスする。
2)申告されたPWが文字数などレベルを満足しているか確認する(Excelの表にするのでその時に関数でチェック)
3)o日になって申告を締め切る その日までに申告して来なかったものは乱数文字列のPWを作って「*****にしたからx日からはこれにしなさい」と指示する
4)サーバに登録されているPWをバッチ変更するスクリプトを作成する(Excelの表からマクロで作成する)
5)x日17:00にスクリプトを実行する
6)各自は自分のパソコン(以後PC)に登録されているPWを変更する
7)情シスは全PW記録を管理本部長に預ける(情シスはPWを保たない)
という方式をとっています
自分でサーバに登録されているPWを変更する方法もありますが
・入力した途端に何を入れたか忘れて情シスに聞きに来るアホが後を絶たない(当然、情シスでもPWは判らないのでPWリセットすることになる)
・PCの不調らしいがPCからサーバのPW変更できない場合が少数ある
・本人不在でPC起動が必要なことがあるが自己変更ではだれもPWが判らないのでPC起動が出来ない。
・本人でさえPWを入れ間違えて「合っているハズ」とゴネる者が居る。
なので止めました。
期日までに変更PWを報告してこない虚け者に対して、前は督促しましたがキリがないので 乱数を割り当てることにしました。自分の覚えやすいPWにしたかったら期日までに報告せよです。乱数PWの変更は禁止です。
「情シスがPWを知っている」というのもマズいのでPWはすべて管理本部長保管として、どうしてもPWが知りたいときは管理本部長に理由を説明してPWを聞く事になります。(管理本部長はユーザIDを知らない(しITに疎い)ので他人のPWで何かをするということは多分?出来ない)
今のところウチはこの方法が最良だと思っています
質問
他社様のいろいろな事例を聞くのですが、
パスワードについてお聞きしたいです。
1.情シス部門が管理する
2.エンドユーザーに管理させる
皆様はどのように管理していますでしょうか。
個人的に上記はすごく悩んでいます。
1.情シスが管理する、となるとパスワードの一覧をどこかに用意するリスクが発生しますし、管理も非常に面倒。
何かしらのルールに従ったパスワードになってしまうため、脆弱性がある。
といった問題があります。
2.エンドユーザーに管理させる、となると勝手なパスワードを使うため、セキュリティのレベルが不明になる。
責任を個人に与えることで情シスのリスクが抑えられるという面もありそうですが、情報漏えいしてしまったという事実を発生させないのが情シスの役割であるとも思います。
そのため、啓蒙活動をするなり、パスワードポリシーを設定する必要があります。
皆様の会社ではどちらのパターンでしょうか?
理由や運用方法もお聞かせ願えるとありがたいです。
自社ではITリテラシーが高いという判断のもと、2のエンドユーザー管理をしております。
以上よろしくお願いします。