Good Practices for Password Management (version. 20220914)

1. Code of Practice for Using Passwords

  • Passwords must be at least 12 characters long and contain all lowercase letters, numbers and symbols.Random things are better.

    School regulations (*1) require at least 12 characters and recommend at least 16 characters. Please make it at least 12 characters, except in special cases such as non-configurable due to device or application restrictions.

    パスワード中によく使われる単語や文字列は、世界中のクラッカー(悪意のあるハッカー) により頻出辞書が作成・共有されています。この辞書に載っている単語を使って パスワードを解析する「辞書攻撃」を避ける必要があります。 最近の辞書攻撃は単語を組み合わせたり、パスワードの利用者の個人情報を用いて 攻撃を行う等の工夫がされています。後述のパスワード管理ツールを活用して、 ランダムな文字列を使うのがベターです。

  • Reuse of passwords is strictly prohibited.Use different passwords for different systems/services.

    IDとパスワードの漏洩を完全に防ぐことは不可能です。IDとパスワードは必ず漏洩する という前提で、漏洩したIDとパスワードによる被害を予防するか最小限に留める 対策をすることが肝要です。漏洩したIDとパスワードは一覧表(リスト)にされ、 世界中のクラッカーに出回っています。このリストを用いて様々なウェブサービス等に ログイン試行を行う攻撃を「リスト型攻撃」と呼びます。リスト攻撃を簡単に実行できる 攻撃ツールは誰でも使うことができます。リスト型攻撃の餌食にならないためにも、 パスワードの使い回しはやめましょう。

  • Be sure to enable multi-factor authentication.

    Even if your identity and password are compromised, enabling multi-factor authentication increases the likelihood of preventing unauthorized logins.Be sure to enable multi-factor authentication. In recent years, there have been many cases in which multi-factor authentication is broken. Don’t worry about multi-factor authentication and change your password immediately if it is leaked or suspected to be leaked.

  • Use password management tools.

    If you set up a different complex password for each system/service, it is impossible to remember all of these or manage them in notes. Use the password management tool. Examples of password management tools will be discussed later

2. Good Practices for System Administrators

  • Avoid sharing passwords as much as possible (except for the ability to share password management tools)

    • It is better to use sudo instead of sharing the root password for UNIX-based systems.

    • In the case that a plurality of manager users can be manufactured even in network equipment, appliance products, etc., ID and password are generated for each manager.

    • Passwords to be shared are managed by using the function of the password management tool.

  • If the system has the option to check password strength, enable it and force it to use a secure password.

  • Systems connecting from outside the university do not use authentication with only ID and password.

    • SSH is used for key authentication.

    • VNC and RDP will be limited to campus networks.If you use it from outside the university, use a VPN together.

    • HTTP BASIC authentication will be limited to campus networks

    • In the case of using a service limited to an in-school network, tunneling or the like by SSH of VPN connection or key authentication is used.

3. Password Management Good Practices for Organizations

  • A password management tool having a password sharing function is utilized.

    一例として, 1Password, LastPass, Bitwarden 等は,複数名でパスワードを共有 する機能があります.他にも同様のツールありますので調べてみてください。 費用は 1 ユーザーあたり年間数千円程度のものが多いです。 これをパスワードを共有する人数分購入する必要があります。

4. Personal Password Management Good Practices

  • ウェブブラウザ標準のパスワード記憶機能は個人用のパスワード管理ツール として使用できます。この機能を用いることで、PC・スマートフォン間での パスワード情報の同期ができます。記憶しているパスワードが漏洩した際に 通知してくれる機能を持つものもあります。ただしブラウザベースなので ウェブサービスのみとなります。

  • 専用の個人向けパスワード管理ツールを用いて、IDとパスワードを管理するのが よいでしょう。フリーウェア/有償ソフトウェアどちらでもよいと思います。 フリーウェアの中には個人のPC・スマートフォン間でパスワード情報を同期 するためには、使い方を工夫する必要があるものがあります。

    • Example of configuring password manager on PC, macOS, iOS and Android using freeware

      1. Make Google Drive available (supports multiple non-Google Drives cloud storage).

      2. PC (Windows, macOS) には keeWeb を インストールし、新規パスワードデータベースをローカルディスクに作成する。 パスワードデータベースファイルのパスワードは十分に長いものを利用し、 厳重に管理する。 記憶させておきたいIDとパスワードを入力し、keeWebを終了する。

      3. Upload the password database file keeppassx.kdbx to Google Drive.

      4. KeeWebを再起動し、更に表示をクリックして、Google Driveのアイコン をクリックして、Google Driveにアップロードした keepassx.kdbx を 参照するようにする。これで、Google Drive 上で keepassx.kdbx を共 有する準備ができました。

      5. iOS, iPadOSの場合。Google Driveアプリをインストールし、 keepassx.kdbx をアクセスできるようにする。KeePassium をインストー ルし、データベースを開くで、Google Drive上の Keepassx.kdbx を選 択する。これでiOS, iPadOS上でパスワードデータベースを共有するこ とができます。 KeePassium は Face ID/Touch IDをサポートしており、Face ID/Touch IDの設定を行うことで、パスワードデータベースのパスワードを入力し なくて済むようになるます。

      6. Androiodの場合。Google Driveでkeepassx.kdbx にアクセスできること を確認しておく。Keepass2Android をインストールし、データベースを 開くで、Google Driveを選択する。Keepass2Android の権限を設定し、 Keepassx.kdbxを選択する。これで Android でもパスワードデータベー スを共有することができます。

    You can now share a password database between heterogeneous devices.

reference

*1 国立大学法人電気通信大学情報システム運用・管理実施手順書 (https://www.cc.uec.ac.jp/rule/)