システム管理者ならユーザのパスワードが分かる？

パスワードを保護するための一般的な施策と、システム管理者の不正からパスワードを保護することは別物として考えたほうがよいでしょう。

前者、パスワードを保護するための施策としては、パスワードを平文または暗号文として保持せずに、（ソルトやストレッチングを組み合わせた）暗号学的ハッシュ関数を通して平文を導出できない形で保持しておくことが考えられます。この方法で保持されたパスワードはシステム管理者であっても元のパスワード文字列を導出することは現実的に不可能です。

後者、システム管理者の不正からパスワードを守ることは残念ながらできません。前述の施策が行われているシステム上であっても、システム管理者がユーザーのログイン処理時のパラメータに含まれるパスワード文字列（HTTPリクエスト上のPOSTパラメータ）を盗み見るなどした場合にはパスワードがシステム管理者にばれてしまいます。典型的にはフィッシングサイトがそれにあたります。

立場上、ユーザのパスワードが見えます。細工すれば分かる。

これは前者（パスワードをストレージ上にどのように保持するか）の話をしているように読み取れます。それについては上記で示したような施策によってパスワード文字列を保護することが可能です。

システム管理者の不正からパスワードの漏洩はどうやって防ぐのでしょうか？

原理上、防げません。

#6
回答ありがとうございます。
なるほどわかりました。

システム管理者がユーザーのログイン処理時のパラメータに含まれるパスワード文字列（HTTPリクエスト上のPOSTパラメータ）を盗み見るなどした場合

→これは、https://~なら問題ないでしょうか？

システム管理者の不正防止は誓約書など法的な書面で縛るのが一般的ですかね？

#1#3#5
Thanks！

管理者はパスワードだけでなく、ログインID・登録情報・その他諸々を閲覧することが可能な立場である以上、流出させること自体を防ぐ手段はありません。

議題からずれるかもしれませんが管理者に不正を行わせないようにするには、会社への背信行為を考えないだけの適切な管理者報酬を与えることです。

秘匿性の高いデータへのアクセスはすべて閲覧記録を残し、管理者の勤怠情報と照らし合わせて漏洩者の特定はできそうですけどね。ただ、漏洩者の目的がデータの転売レベルなら捕まえてしまえば済む話ですが、もし会社の信用を落とすための行動となると、抜き出された時点でもうほとんど目的が達成されてしまっているのでなんともしようがありません。つまり管理者経由で情報が漏れることは防げなくても、「バレずに」情報が漏れることは難しいということを周知徹底することです。

パスワードの管理は平文保存をしないことで管理者の手から離れますが、結局受け取ったデータを照合する時点でログをとるなど仕掛けがあれば抜き放題でしょう。

内部不正対策の例です。

・データにアクセスできる専用のPC室を導入
・PC室への専用カード入退室管理
・専用カード入室には事前申請と承認の必須化
・事前申請承認時に閲覧権限付与 & 一定時間後の権限自動剥奪
・監視カメラの導入
・画面常時録画の導入
・USB メモリ接続不可
・プリンタ使用不可
・外部 SNS・オンラインストレージへの接続不可
・アプリインストール不可
・データ出力上限の制限 (最大 10件など)
・閲覧履歴の把握 & 急激な閲覧件数上昇が見られた場合は即時調査
・閲覧履歴と、事前申請の突き合わせ (目的外のデータを見ていないかチェック)
・2名以上での作業を必須とする
・あらゆる作業前に押印 (複数人それぞれが押印)
・誓約書・秘密保持契約書
・懲戒処分の整備
・定期的な監査
・内部通報窓口の整備
・適切な職務分掌 (インフラ管理者、アプリ開発者、顧客対応者を分けるなど)

#8

議題からずれるかもしれませんが管理者に不正を行わせないようにするには、会社への背信行為を考えないだけの適切な管理者報酬を与えることです。

→そう思います。金銭的報酬よりも精神的報酬が足りていません。
実務者に対するリスペクトが足りていない気がします。扱いが酷い。

#9
現状、持ち出す行為ところまではバレずに行えそうです。
管理者であればパスワードが簡単に見れる(分かる)状態なので、頭で記憶すれば持ち出すことが可能です。
不正アクセスしたら足が付きます。

#10
相応のコストはかかりますね。

あ、私は改善する開発者の立場ではなく、運用する側なので従うしかないです。
ただ、IDとパスワード抜き放題じゃんと素朴に思ってお聞きしました。
それと同時に、怖くなりました。

相応のコストはかかりますね。

そこにコストを掛けてないということは、現状あなたの会社にとってその程度のリスクという認識なのでしょう。
ただまぁ、管理者は誓約書を書いた上でそのような行為に及んで、それが発覚した際には、逮捕とかもありえるかと思います。
身を引き締めるのはもちろんですが、そういうリスクだと経営層に理解させていくのも管理者の役割かもしれません。

→これは、https://~なら問題ないでしょうか？

通信経路では読めなくなりますが、結局、復号化して処理するので、管理者が復号化した以降の情報にアクセス出来る限り、意味はないですね。
運用管理者がアクセス出来ない領域や、運用管理者が知らない暗号化キーを用意して運用する手もあるはあると思います。(その場合、別の管理者的な人が必要になりますが。)

念のため書いておきますが、

管理者であればパスワードが簡単に見れる(分かる)状態なので

今どきは、そういうシステムはナシです。
ハッシュ化するなどして管理者がパスワードを見ても意味がないようにするのが一般的です。

個人的な感覚としては、以前はパスワードをそのまま保存するところが多かったものの、
2008～2010年あたりを境にそうでないサービスの方が多くなったような気がしています。

漏洩をどうやって防ぐ？　という組織の立場に立って考える姿勢、ご立派と思います。

ただ、もっと危機感をもっていただきたいのは、システム管理者様ご自身の個人の防衛です！
なにしろ、何かしらのパスワード流出案件があったとき、「お前はパスワードを知ることができたはず」と疑われうる立場に立たされてしまっているのです。
パスワードを管理者が見られる形で保管してしまっているようなセキュリティ意識の低い設計のシステムですから、いろいろな脆弱性があることが想定され、システム管理者が漏洩する以外のいろんなルートから漏洩するリスクはすでにあると思うべきです。

保身のことをまず考えませんか。
具体的には、「私はいつでも疑われうる立場にいて危険である、なんとかしてほしい」というお手紙（メールでも）を上長、経営層にちゃんと残る形で送っておきます。セキュリティ意識の低い設計のシステムであり自分のせい以外にもパスワード漏洩のリスクが潜在しているかもという見解もちゃんと添えておくべきと思います。

セキュリティ事故が発生する前からこのことをちゃんと伝えておくのが肝要かと。
とはいえ、それで逆にセキュリティ事故が起こったとき「確かお前、パスワードを知ることができるって言ってたよな」とやぶ蛇になる可能性だってありますよね。はい、どう立ち回ってもハイリスクな立場には変わりません。

並行して転職活動に着手すべきと強くお勧めするものです。

#14
何故転職活動を並行して進める必要があるのでしょうか？
飛躍しすぎだと思いますけれども。

説明願います。