とある社内向けシステムを立ち上げるにあたって、ログインするための初期パスワードについて問題になった。
システムの委託先の業者がいうには、初めのパスワードは社員番号に設定して、システムが稼働したら、各社員がログインして、各自でパスワードを変えてもらう仕組み、ということであった。
確かに社員番号は、そんなに頻繁に使われるものでもないし、他の社員の番号を知っている人はまずいない。
それにシステム稼働当初は、そのシステムに入ってる情報は、初めは名前や部署名などの基本的な情報を除き、空っぽだ。
なお、このシステムは社内のイントラネットからしか接続できず、完全に外部の人間がログインしてしまうという事態はない。
しかし、そうはいっても社内の不埒な社員が他の社員の番号を使ってなりすまして、いたずらでもされたら問題だから、
初めのパスワードは、ランダムの文字列等にしてくれと、主張した。
そしたら、業者は１００万円程度の追加費用の要求してきた。
そのような予算はない。交渉はしたものの、値下げには応じてもらえなかった。
さて、どうすればいいだろうか。

http://anond.hatelabo.jp/20140614010450

日本人が陥りがちな「無用で過剰なセキュリティ要件」だと思う。
せめて、最初の要件定義段階でランダムパスワードを仕様に入れてれば、追加費用は発生し無かったのに。
もう、「初めのパスワードは、ランダムの文字列等にしてくれ」という意見に賛成した人の給与から１００万引いて、追加費用に充てればよかったんじゃねえの？
１０人いたなら、１人１０万負担で済むじゃん？

結局、上司がスクリプトとか、そういうのを弄ぶのが得意だったので、
それらの技術を使って、クライアント側からパスワードを機械的に変更させることができた。
自分の作業はちゃんとパスワードが変更されているか、十数人チェックした程度。
業者に追加料金を払うことなく、解決することができたわけだが、しかしまあ、業者にはこんくらい無料でやってくれよとも思ったが、やっぱりタダというわけにはいかないのかね。
無料は論外としても、１０万円くらいなら出せたのに。
なんか今回の事例は、「無知な依頼主が無茶な要望を出している」ケースだったのか、「無知な依頼主につけこんで、業者がぼろうとしている」ケースだったのかが分からない。

http://anond.hatelabo.jp/20140617200703

仮に、その上司様がスクリプトバグでシステムを丸ごとぶっ飛ばしてしまったり、想定したパスワードではないパスワードをプリセットして、誰もログインできなくなってしまった場合、その復旧と被害は誰に請求する予定だったのかな？
ユーザーの自己責任で頑張るなら、そりゃＩＴ屋は生温く応援してくれるよ。
ざっくり１００万ってのは、サービス乞食と化しそうな顧客に対して、遠まわしに断る理由だったんじゃないかと。