9.1. 良いパスワードを使う

BIOS やブートローダー、あるいは root のパスワードを推測できる人なら、誰でもそのマシンを完全に制御できてしまいます。 ですからこういったパスワードは、別々で、互いに何の関係もない、 良いパスワードにしてください。今のところ、一番良いのは、 ランダムな文字列と数字列を選ぶことです。 検索エンジンでヒットするだろうと思うようなパスワードは、 絶対使わないでください。 [1]

ユーザーのパスワードが推測されてしまう、 それはたしかに一大事です。 ですがハッカーは、 ただ待っているだけで root のアクセス権限を入手できます。 つまり、 オペレーティングシステムの欠陥に起因する、 マシンの脆弱性が公表されるのを待ち、 そのマシンにパッチがあたる前にその脆弱性を突くのです。

マシン上のユーザー数を厳しく制限して下さい。そして、 cracklib を元にした PAM モジュールのような、ファシストパスワードチェッカーを使って、 確実に良質のパスワードだけを選ぶようにしてください。

BIOS のパスワードやブートローダーのパスワード、 それに root のパスワードは、 何かに書き留めておいてください。 こうすれば、これらのパスワードは覚えなくても済みますから、 完全にランダムで互いに無関係な、 最良のものをパスワードにしない理由はありません。 その書き留めたものは折り畳んで封筒に入れて、そして封をしてください。

これでコンピュータセキュリティの問題は、物理的な面に移りました。 これらの問題の解決方法は分かっています。錠前と鍵、警報器、金庫、 警備員、それに定期査察です。自分のサイトに警備員を配置しているなら、 その封筒を守衛室気付にして出して下さい。 その際、この封筒をマスターキーと同じ手順で扱うよう指示した、 取扱い説明書をこの封筒に付けてください。これがうまいやり方です。 小規模なサイトなら、金庫や手さげ金庫、 あるいは鍵のかかる引出しを使ってもかまいません。 施錠した引出しを無理矢理こじ開けた泥棒の方が、 モデムの背後にいるハッカーよりも、 はっきりとした侵入の痕跡や多くの手がかりをいっそう残すものです。

これら三つのパスワードは重要な会社の資産です。 そのマシンが厳重に保管されている場合、 そのマシンに関する主要なパスワードを忘れてしまうと、 分解するなら別ですが、 いつものやり方では設定が変更できないマシンになってしまいます。 重要なパスワードの生成方法や保管場所、有効期限、 および使い方の管理手順は、文書化しておいてください。