web-dev-qa-db-ja.com

デフォルトのパスワードが使用されていないことを確認するにはどうすればよいですか?

「デフォルト」のパスワードがネットワークで使用される状況は2つあります。

  1. 新しいユーザーが登録されます。彼女の登録パックには、新しいユーザー名、電子メールアドレスなどとともに、彼女の初期パスワードが含まれています。

  2. 新しいハードウェアが展開されます。工場出荷時の状態では、デフォルトの管理者パスワードが設定されているため、ハードウェアにアクセスして構成できます。

ネットワークでまだ使用されているこれらのデフォルトのパスワードを確認し、変更されるようにするにはどうすればよいですか?

passwordspassword-management
9
thunderror

コンテキストに大きく依存します-@ nealmcbコメントを参照してください。

オペレーティングシステムの場合、最近のほとんどのOSでは、「初回使用時の変更」の設定が提供されています。

制御するアプリケーションの場合は、デフォルトのパスワードをユーザーに提供しないでください。最初の使用時に有効期限が切れる一意のパスワードを生成します。

ベンダーから出荷されたデバイスの場合-ベンダーにこれを行うように説得できない限り、注意が必要です。

要約すると、さまざまなオプションがありますが、質問をコンテキストに配置する必要があります。そうしないと、有用な回答が得られない場合があります。 よくある質問の「背景」セクション を参照してください。

10
Rory Alsop

私が読んだ1つの方法は、「管理者の名前」が一種のパスワードを揺るがすというデフォルトのパスワードを持つことです。ほとんどのユーザーはそれを変更します。他に何か考えられますか?

デフォルトのパスワードがないシステムを使用してください。

6
Incognito

新しいユーザーが登録されます。彼女の登録パックには、新しいユーザー名、電子メールアドレスなどとともに、彼女の初期パスワードが含まれています。

ここでは、いくつかのことを考慮する必要があります。

まず、ユーザー名とパスワードはどのようにユーザーに転送されますか?それはハードコピーで渡されますか、それとも電子的手段を介して仲介者(つまり、スーパーバイザーまたは管理アシスタント)に渡されますか?前者の場合は、システム管理者からユーザーまで、封印された不透明な改ざん防止パッケージに保管する必要があります。後者の場合、システム管理者は暗号化された電子メールを介して情報を仲介者に中継し、仲介者は(前述のように)安全なパッケージを使用して情報をユーザーに転送する必要があります。ただし、このトランザクションにはサードパーティが関与しないことが望ましいです。理想的には、システム管理者とユーザーのみが初回パスワードの知識またはアクセス権を持っている必要があります。より好ましいのは、ユーザーだけがそれを持っていることですが、これは、ドメインや電子メールアカウントなどの一部のシナリオでは不可能です。

次に、初回のパスワードは常に一意である必要があり、ユーザーに固有の情報によって判別できないようにする必要があります。これを確実にする最良の方法は、ランダムパスワード生成ツールを使用し、生成されたパスワードをユーザー間で再利用しないことです。理想的には、ユーザー名は個人を特定できる情報とも関係がないはずです。

第三に、初めてパスワードが変更されることを保証するメカニズムは、アカウントが作成された環境に大きく依存します。多くのシステムには、ユーザーが次回ログイン時にパスワードを変更するように強制するためにアカウントに設定できるオプションがあります。それが利用できる場合、それは最も効果的な手段であり、使用されるべきです。このような機能のないシステムの場合、会社のポリシーに準拠するかどうかはユーザーに大きく依存します。これは、登録パックにパスワードの変更に関する明確で目立つ助言を含めることで支援できます。また、非常に長く複雑な(使用可能なすべての文字タイプを使用して約20以上のランダムな文字を使用する必要があります)初回パスワードを使用すると、当然、ユーザーはパスワードを変更する傾向が強くなります。

最後に、上記の適切な対策を講じている場合、パスワードの変更を監査するのは難しい場合があります。 OphcrackやLophtCrackなどのパスワードクラッキングツールを使用してこれを確認している場合は、作成時にすべての個人の初回パスワードをRainbowテーブルに追加する必要があります。一部のシステムには、ユーザーのパスワードの有効期限と最終ログイン時刻を確認する機能が含まれています。これらは、アカウントの作成日とユーザーの開始日と照合して、ユーザーが初回ログイン時に変更したかどうかを確認できます。これらの方法を除けば、上記の手法の高いセキュリティにより、初回のパスワード変更の検証は、初回のパスワード自体を悪用するのとほぼ同じくらい困難になります。

新しいハードウェアが展開されます。工場出荷時の状態では、デフォルトの管理者パスワードが設定されているため、ハードウェアにアクセスして構成できます。

ここで実行するいくつかの対策があります。これにより、初回パスワードの安全性が高まり、パスワードの変更が容易になり、確認できるようになります。

最初の部分は材料の取得です。次のようなハードウェアのみを購入してください。

  • 初回のパスワードはなく、sysadminがパスワードを設定するまで動作しません。

  • 初めてのパスワードがある場合は、デバイスごとに一意に生成され、ユニット間で再利用されないパスワードを使用します。

この後、それらが変更されていることを確認する唯一の方法は、多くの場合、システムのハンズオン監査を通じて、初回の資格情報がまだ有効かどうかを確認することです。

6
Iszi

パスワードを定期的にテストし、それが辞書にあることを確認してください。

3
Bill Weiss

追加の情報/コンテキストがない場合、1つの方法は、繰り返し入力するのが面倒な、長くて複雑なパスフレーズを設定することです。

システムがそれをサポートしている場合、「最初の使用時の変更」が確かに好まれます。

3
lew

システムのデフォルトパスワードは1回限りの使用であり、アプリケーションパスワードはアプリケーションに応じて特別なデフォルトです。各アプリケーションでデフォルトのパスワードがどのように表示されるかを知っているので、デフォルトを検索して問題のある当事者に簡単にアクセスできます。

2
Dave