サーバーパスワードの安全な保管方法

Pocket
LINEで送る

webサイトを運用しているとどうしても必要になるのが、サーバーのパスワード。

パスワードが流出すると、簡単にwebサイトを改ざんされたり、悪質なプログラムを埋め込まれたり、被害に遭う可能性が高くなります。

どのように保管すればよいか、対応策を考えてみました。

パスワード自体の安全性

パスワード自体が推測しやすいものになっていれば、パスワードの保管方法以前に、危険性は高まります。

サーバー会社などでは、

  • 8文字以上
  • IDを含まない
  • 小文字だけでなく大文字、数字、記号も混ぜる

というようなパスワードを推奨しています。

パスワードの保管方法

サーバーのパスワードは、申し込んだ担当者、webサイトを更新する担当者、サイトの調整をする外注業者さんなど、複数の人が利用することが多いはず。

そうなると保管方法も工夫が必要です。

アナログ

パスワードを紙に書き出しておく、最もアナログな方法。

web上での流出は起こりませんが、覗き見られたり、紙を紛失する可能性もあるので、あまりオススメ出来ません。

何より、毎回紙を見なければ行けないのは、作業効率が悪すぎます。

エクセル管理

エクセルもしくはスプレッドシートにIDとは別にパスワードを記載し、エクセル自体にもパスワードをかける方法。

Gsuiteなどでユーザーごとに閲覧権限を与えていれば、ある程度、セキュリティーは確保できそうですが、こちらも毎回コピペしなければならないので、生産性の面で問題があります。

クラウドツールを使う

LastPassやセキュリティーツール会社の出しているパスワード管理サービス。

どの端末でも利用できて便利な一方、LastPassは流出する可能性のある脆弱性で騒がれていました。

パスワードマネージャー「LastPass」に重大な脆弱性、ユーザーが行うべき3つの対策はコレ

ただ、対応も早く、ユーザーへの対応策の提示も早かったので、今でも使われています。

作業する際の生産性を考えると、クラウドツールを使うのがベスト。
ただ、そのパスワードマネージャーの脆弱性情報は、常にチェックが必要です。

最善策はどれ

各管理方法とも、一長一短なので、会社やチームの体制によって、どれがベストか考えるべきです。

作業効率を重視すると、

クラウドツールで管理

クラウドツールへのログインは2段階認証

サーバーへのログイン履歴を定期的にチェック

怪しい動きがあったらパスワード変更

複雑なパスワード

というのがベストかと思われます。

まとめ

サーバーのパスワードは、一度流出して、改ざん用のプログラムを仕込まれたりすると、復旧作業にかかる工数と費用は、かなりのものになります。

ちょっとした手間でも、改ざんされるリスクは減らせるので、パスワードの管理も工夫しておきましょう。

Pocket
LINEで送る

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です