今回は「山口東京理科大学」「長崎外語大学」を取り上げさせていただきました。

最近多くの大学で「共通認証」の仕組みが取り入れられています。要は学内のどのシステムでも同じIDとパスワードで入れる仕組みです。
しかしいくつかの大学サイトを見ていると「あれっ？」と思うことがあります。それは、情報センター管轄のサイトでは認証画面はどれも「https」で統一しているのに、他課（図書館ポータル等）では「http」だったりするのです。
「意味無いじゃん！」
「共通認証」で、暗号化サイトをいくつも用意していても非暗号サイトが１つあるだけでセキュリティは思い切り低下します。（実は「http」でもちゃんと対策しているところもあるとは思う）

てなわけで、今回は「ん？」と思ってしまうパスワード管理についてです。
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
（続き）
まずは「山口東京理科大学」です。

• セキュリティ調査に伴うパスワード強制変更について

以下抜粋です。
「安易なパスワードを使用している学生には、パスワードを変更するよう個別にメールにて通知しました。〜（省略）変更しなかった学生に対しては、本日6月25日パスワードを強制変更しました。」
何かのツールを使ってパスワードの総チェックをしたと思うのですが、この作業自体どうなのかなと考えてしまいました。
そりゃ安易なパスワードを第三者が見破り、そこがセキュリティホールになる危険はありますが、管理者といえど、ユーザのパスワードを調べてしまっていいものかと。。
メールをした学生に対して「あなたのパスワードを見破りましたよ」と言ってるようなものです。
また、私が学生だったら「パスワードを変更しなさい」なんてメールがきたら、怪しみますよ。
（あるいは無条件にゴミ箱行き）

次は「長崎外語大学」です。

• 情報教育支援室からのお知らせ

このページの2006.4.5付の「Webメール復旧のお知らせ」。
文中に「数字の9が8個「99999999」の全員共通パスワード」とあります。このまま解釈すると、一定期間は誰でも他ユーザの情報が見られてしまう状態だったことになります。
（それができなくとも、他ユーザのパスワードを設定できてしまう状態だったのでは？）
何だか恐いです。
※それにしても、どういうトラブルだったのだろうか。かなり重症だったとみた。

あと、いまだ多いのが「初期パスワードが生年月日」のところです。
情報センターでそのように設定しているところはあまり無いですが、他の課独自で運用しているシステムで多く見られますね。

試しにgoogle等で以下文字列（"も含めて）で検索してみると、わんさか出てきます。 "初期パスワードは生年月日"

---

そもそも「アカウント（ID）＝学籍番号」て事自体が問題ありますよね。
（更に1文字追加している大学もありますが、実質大差は無い）
同じにしている理由は簡単。大学が管理する上で「学籍番号が一番楽」だからです。
学生は一律学籍番号で、教職員は自由に命名ＯＫ、は何だか不公平ですね。
※といいつつ、私の勤務する大学もそうだったりします。。