パスワードセキュリティは、組織のサイバーセキュリティにおいて極めて重要な要素です。本ガイドでは、パスワードマネージャーや多要素認証の利用を含む、強固なパスワードの作成と管理に関する必須のヒントを提供します。
一般的なパスワードの脆弱性や、従業員へのパスワードセキュリティ教育におけるベストプラクティスについて学びましょう。パスワードセキュリティを理解することは、機密情報を保護し不正アクセスを防ぐために不可欠です。
ユーザーのパスワードは、そのアカウントへの扉を開く鍵です。システム内でそのユーザーアカウントが持つ権限の種類によっては、その鍵は非常に強力なものとなり得ます。もし私があなたのオンラインバンキングのパスワードを入手すれば、あなたのアカウントとそこに含まれるすべてのデータにアクセスできるかもしれません。それはあなたにとって厄介なことでしょう。しかし、サーバーレベルでオンライン銀行のシステム管理者のパスワードを入手できれば、あなたの情報だけでなく他の全ユーザーの情報にもアクセスできます。驚くほど多くのデータ侵害はこうして発生します。
優れたパスワードセキュリティが重要な理由は次の通りです:パスワードを入手した後は、特に技術に精通していなくても悪用できるからです。バックドア、マルウェアのリモートインストール、ウェブサーバーへの悪意あるコード注入など、他の種類のセキュリティ侵害にはかなりの専門知識が必要です。しかしパスワードは? それは他人のデータに侵入する最も簡単な手段です。これがダークウェブ上のパスワード市場、侵入という難しい部分は手法を知る者に任せ、実際に混乱を引き起こすのは悪意だけを持った者に委ねられるのです。 クレデンシャルスタッフィング、パスワードスプレー攻撃、その他のパスワードベースの攻撃は、適切なパスワードセキュリティ対策を実施するだけで防げる場合が多い。
NISTによるパスワードセキュリティ推奨事項
国立標準技術研究所(NIST)は、連邦レベルでのセキュリティ強化に向けてこの問題を検討してきました。連邦政府のシステムをより安全に保護するため、国のパスワードセキュリティポリシーの変更案草案を発表しています。これらの政策が施行されると、連邦政府機関で働くユーザーのみに影響が及ぶ。ただし、ITインフラ(または個人アカウント)のセキュリティ維持を担当する者は、これらを真剣に検討すべきである。
提案内容の一部は、パスワードセキュリティに関する従来の常識に反するものである:
1. ユーザーが覚えやすいパスワードの作成を容易にする
パスワードの形式に制限を設けないでください。大文字を1つ以上使用すること、数字を1つ以上使用すること、特殊文字を使用すること、パスワードが長すぎると警告することなどを義務付けると、ユーザーはイライラして簡単な方法を探してしまうだけです。ジョン・スミスがパスワードを「johnsmith」にしようと決めた場合、それは受け入れられません。しかし特定の形式を要求することで、彼は「J0hnsm1th!」のような制限内で工夫したパスワードを作成するよう促されてしまいます。これは実際には何の改善にもなりません。パスワードの解読に長けた者なら、このバリエーションをすぐに解読できるでしょう。 代わりに、ジョンにパスワード作成の自由度を与えましょう。より長いフレーズ(推奨最大は16文字ではなく64文字)の使用を促し、システムがあらゆる文字を処理できることを保証します。ASCIIテキストだけでなく、絵文字を含むあらゆるUnicode文字を網羅する必要があります。この手法は、システムが照合可能な既知の脆弱パスワード辞書を用意している場合に最も効果を発揮します。そうすれば、ジョンが最初に作成したパスワード「johnsmith」が拒否された際、彼はその苛立ちを次のような49文字の安全なパスワードへと昇華させられるのです:"Our system admin is an annoying pain in the ????."
家の鍵を毎年交換してセキュリティを強化する人はいません。誰も侵入できていないなら、鍵を持っているのはあなただけだという証拠です。鍵を不正に入手した人物がいると判明した場合にのみ交換するものです。パスワードも同様です。
2. パスワードヒントの使用を止める
長年このような方法を使ってきたため、廃止するのは直感に反するように思えます。しかし、よく考えてみると、パスワードを取得またはリセットするためのヒントや仕組みを設定すること自体が意味をなさないのです。ヒントの存在意義は、答えにたどり着きやすくすることにあるのです。
ビル・ゲイツが口座を持っていると知っている銀行に足を踏み入れ、100万ドルを引き出そうと想像してみてください。窓口係は身分証明書の提示を求めますが、あなたはビル・ゲイツではないので持っていない。しかし、追い返される代わりに、「では、あなたが生まれた都市の名前は何ですか?」と尋ねられるのです。これは はるかに はるかに入手しやすく、資産を保護する方法としてはひどいものに思えます。
強力なパスワードは、デジタル資産(多くの場合、そのデジタル資産は現実のお金へのアクセス権を表しています)を保護する第一歩です。パスワードを知らない人物がいる場合、その理由を推測する方が、手助けを与えるよりも賢明です。
3. SMSによる二要素認証は廃止すべき
二要素認証、あるいは多要素認証は確かに必須です。しかし、指紋や網膜スキャンなどの生体認証は、アカウントを保護するはるかに優れた方法です。そして、それはかつてのような未来的なSF技術ではありません。明日という日は、すでに訪れているのです。
SMS による認証は、かなり不十分な方法です。障害物という観点では、携帯電話にテキストで認証コードを送信するのは、馬に 15 センチのハードルを飛び越えさせるようなものです。As この投稿示しているように、パスワードを入手できるほど賢い人物なら、テキストベースの認証コードを回避する方法も十分に見つけ出せる。
そして当然ながら、この手法の無効性が広く知られるようになった今、セキュリティブロガーたちはこの問題について考察し、異なる方法 この種の保護は破られる可能性がある。
4.管理者はパスワードの保存方法についてより賢明である必要がある
2013年、Naked Securityブログは、世界最大のソフトウェア企業の一つであるアドビが、1億5000万人のユーザーを裏切った経緯を詳述しました。パスワード保護のための恐ろしい慣行が実施されていたことが明らかになった。
パスワードセキュリティのヒントがいかに無意味かを明らかにしただけでなく、アドビがかなり基本的な暗号化を使用しており、他の保護策を一切加えていないことも明らかになった。その結果、子供用スパイキットで得られるものより少し高度な程度の単純な復号プロセスが生み出された。
パスワードで守られた現代社会において、セキュリティは結局のところ全員の責任である。ポリシーは周到に策定され、ユーザーは遵守し、管理者は侵入者がパスワードを盗み出せないとは決めつけず、ユーザーのために適切な対応を取る必要がある。NISTの新たな提言と知見は、誰もが取り組むべき良い出発点と言える。
パスワードマネージャー:メリットとデメリットの比較検討
パスワードマネージャーは、個人や組織がパスワード使用のリスクを軽減しようとするもう一つの手段です。他のセキュリティツールと同様、パスワードマネージャーは役立つ可能性がありますが、組織をパスワード関連のリスクから完全に免除する万能解決策ではありません。考慮すべき別の側面として、ほとんどのパスワード管理ツールは、長年にわたり脆弱性が発見されたり、実際に侵害されたりしていることが判明しています。
チームにパスワード管理ツールを導入することは、セキュリティをこれらのツールに委ねることを意味します。注目すべきセキュリティインシデントとしては、LastPass、My1Login、KeePass、OneLogin、PasswordBox、MyPasswords、Avast Passwords、RoboFormなどが挙げられます。Google Project ZeroのTavis Ormandyは、ブラウザプラグインの脆弱性を含む、これらの脆弱性の一部を公表しました。
当社の推奨事項は?パスワード管理ツールはパスワード復旧のIT負担を軽減しますが、同時に組織に対する新たな潜在的なサプライチェーン攻撃のリスクをもたらします。
結論
パスワードで保護された世界において、強固なセキュリティポリシーにはベンダーと各チームのメンバーが関与します。ポリシーは周到に策定され、ユーザーは遵守し、管理者は侵入者がパスワードを盗む可能性を最初から否定せず、ユーザーのために適切な対応を取る必要があります。NISTの推奨事項と調査結果は、誰もが始めるのに適した出発点です。
"パスワードセキュリティに関するよくある質問
パスワードセキュリティとは、攻撃者からパスワードを安全に守るための手法やツールを指します。アカウントを不正アクセスから守るデジタルロックのようなものと考えてください。強力なパスワードの作成、安全な保管、多要素認証などの追加セキュリティ対策の実施がパスワードセキュリティには含まれます。
適切なパスワードセキュリティがなければ、攻撃者は簡単にアカウントに侵入し、データや金銭を盗むことができます。
"パスワードセキュリティが重要な理由は、脆弱なパスワードがデータ侵害の主な原因となるためです。攻撃者がパスワードを解読すると、個人情報、財務データ、ビジネスアカウントにアクセスされる可能性があります。不適切なパスワード管理は、個人情報の盗難、金銭的損失、深刻な信用毀損につながる可能性があります。
強固なパスワードセキュリティを使用することで、サイバー犯罪者が標的にすることをはるかに困難にする障壁を構築できます。
"各種パスワード強度診断ツールでセキュリティを確認できます。これらのツールはパスワードの長さ・複雑性を分析し、データ漏洩で流出していないかチェックします。総当り攻撃でパスワードが解読されるまでの推定時間も表示します。既存のパスワードをテストし、脆弱なものを改善するためにこれらのチェックツールを活用してください。
"パスワードを安全にするには、大文字・小文字・数字・記号を組み合わせた12~15文字以上の文字列を使用してください。各アカウントごとに固有のパスワードを作成し、複数のサイトで再利用しないでください。パスワードマネージャーを使用して複雑なパスワードを生成・安全に保管してください。
可能な限り多要素認証を有効化し、追加の保護層を追加してください。パスワードに個人情報または一般的な単語を使用しないでください。
"複雑な短いパスワードではなく、長いパスフレーズに切り替えることでパスワードのセキュリティを向上できます。パスワードマネージャーを使用して、すべてのアカウントに固有のランダムなパスワードを作成してください。特に銀行口座やメールなど重要なアカウントには、多要素認証を設定してください。
SentinelOneやHave I Been Pwnedなどのツールで、データ漏洩によりパスワードが流出したかどうかを定期的に確認してください。脆弱なパスワードや再利用されたパスワードは直ちに交換し、漏洩した場合は更新してください。
"パスワードセキュリティのベストプラクティスには、以下の点が含まれます:- 12文字以上で様々な種類の文字を含むパスワードを使用する- 異なるアカウント間でパスワードを再利用せず、各サービスごとに固有のパスワードを作成する信頼できるパスワードマネージャーを使用して、パスワードを安全に生成、保存、自動入力してください。
対応しているすべてのアカウントで多要素認証を有効にしてください。パスワードを書き留めたり、スプレッドシートなどの安全でない場所に保存したりすることは避けてください。定期的にパスワードを監査し、侵害された可能性があるものはすべて交換してください。
"