記者会見で紛失したパスワードの情報を暴露してしまった尼崎市のダメな所

全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表 | NHK - ITnews
閉域ネットワークで手を抜いて許可されていないUSBメモリで移行作業を行ってデータ紛失したというニュース。

駄目な所５点

・無許可で行った。
・無許可だったため、おそらく通常チェックされるUSB内のウイルス検査なども行われていない。
・作業後、データを消去していない。
・作業後、飲酒をして、カバンごと紛失。
・市に届け出たのは翌日警察に届けた後。

実はねこの人も同じ閉域ネットワークで作業したことあるんだけど。下みたいなルールだった。
・持ち込む、USB媒体とPCの届け出申請を書く。
・使うUSBに何も入っていないことを確認。
・特定のデータには業者であってもアクセスできなくて自治体管理者に移動・コピーを依頼する方式。
・作業後、データの消去を確認して担当が確認。
・作業日は、飲酒を行わない（会社ルール）
・紛失時は気づいてxx分以内に上司に届け、お客様にも迅速に報告する（会社ルール）

もしかすると、関西だから適当なのかもしれませんね！

気になったのは、会見で、パスワードが英数字で13桁で1年おきに変更すると暴露してしまったところ
どのくらいやばいかというと…。

単純な英数13桁だと 36種類の文字のパスワード解析で実行できてしまう。
複雑な英数大文字小文字記号混在のパスワードだった場合は 96種類のパスワード解析が必要になる。

英数13桁36種類のパスワードの強度は、全部混在パスワード10桁のパスワード強度とほぼ同じなのだ。普通のコンピューターだと1000万年くらいで解析できるオンラインのGPU計算機を使えば数百倍の速度で計算可能なので10年という有限の時間で解析できることになりますね ･ω･
もちろんGPUを使った演算処理は年々進化してますから、数日で解析も可能になるかもしれません

13桁のパスワードという事ですが、適当な業者だと 自分や会社の名前+年月(4桁)とか、+年月日(6桁)にしてる事もありますから、辞書攻撃をすればすぐに解析できてしまうかもしれません。
例えば、biprogy202206 とかですね

((((･ω･))) 怖い怖い