今頃は誰もが、意味不明なパスワードを使っているはずです。例えば「s;3HiMom!&%k#$l」のような。しかし、攻撃者の技術がますます巧妙化していることを考えると、すぐに数文字足りなくなるかもしれません。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
パスワード スプレーなどのツールが犯罪者に簡単に入手できるようになった今、あなたやあなたの会社がアカウントや組織のデータ山への鍵として絶対に使用すべきでないものを改めて検討すべき時が来ています。
ジャンプ先:
- 世界で最もよく使われるパスワード
- NordPassの調査方法
- パスワードの衛生管理の不備は広く蔓延している問題である
- これらのガイドラインに従ってデータを保護してください
- 8文字では7文字足りません
- パスフレーズはアルファベットスープよりも優れている
世界で最もよく使われるパスワード
ありがたいことに、パスワードマネージャーNordPassが毎年恒例の世界で最もよく使われているパスワード200選のランキングを発表しました。今年のトップは、ご想像の通り「password」です。2021年と2020年の優勝者を抑えて、さらに上位にランクインしたのは「123456」です。これは一見すると見劣りするかもしれませんが、改善が見られます。2019年は「12345」でした。
参照:パスワードマネージャーの不適切な使用は個人情報盗難の危険にさらす(TechRepublic)
NordPassのリストは、国、性別、そしてパスワードの解読にかかる平均時間などに基づいてパスワードを分析しています。米国では、2022年に最も多く使われたパスワードは「guest」で、「password」は4位でした。「12345」と「123456」もリストに含まれています。
さらに、ランキングにはこれらのコードのほとんどを解読するのにかかる推定時間も含まれています。これは1秒未満です。世界ランキング9位の「col123456」は、なんと11秒で解読されます。世界中で最も使用されているパスワードには、「qwerty」、「guest」、「111111」などがあります(図A)。
図A
NordPassの調査方法
NordPassの事業開発責任者であるカロリス・アルバシアウスカス氏は、同社が独立系研究者と提携し、漏洩したパスワードが満載の3テラバイト規模のデータベースを発見したと説明し、これを「毎年どのパスワードが人々をオンライン上で危険にさらしているのかを評価するための確固たる基盤」と表現した。
同氏によると、「password」はデータベース内で490万回以上発見されており、2021年のデータと比較すると、2022年に最もよく使われた200のパスワードのうち73%は同じままだという。
「これらのパスワードが漏洩したパスワードの中に含まれていたことはわかっているので、人々がその使用をやめれば多くのサイバーセキュリティインシデントを回避できるだろう」とアルバシアウスカス氏は述べた。
パスワードの衛生管理の不備は広く蔓延している問題である
世界的な会計事務所シュナイダー・ダウンズのサイバーセキュリティ・コンサルティング・サービス部門の株主カール・クリーベル氏は、脆弱なパスワードは確かに普遍的な問題であると述べた。
「私たちが年間に実施する約 75 件の侵入テストでは、ほとんどの場合、パスワードが一貫してチェーンの弱いリンクになっています」と彼は述べ、フライ/フェイル ロックアウトなどのプロトコルは、攻撃者が侵入するのに必要な時間を長くするだけかもしれませんが、違いを生むと付け加えました。
「他の攻撃者と同様に、攻撃者も時間を含めたROIを測定している」とクリーベル氏は付け加えた。
パスワードスプレー技術などに容易にアクセスできれば、一般的なコードや簡単に推測できるパスワードを持つアカウントの場合、その時間はほぼゼロにまで短縮されるため、組織全体でその問題を解決することが最優先事項であると彼は指摘した。
参照:最高の侵入テストツール:2022年版購入者ガイド(TechRepublic)
「パスワードスプレーで簡単に侵入できるなら、明らかにポリシーに問題がある」とクリーベル氏は述べた。「すべての組織は、試行錯誤を繰り返し、パスワードをロックする仕組みを作るべきだ。たとえ1時間でもだ」
NordPassは今年5月、企業幹部がアカウントのセキュリティ保護に使用しているパスワードに関する調査結果を発表し、昨年は同社の研究者らがフォーチュン500企業から漏洩したパスワードを調査した。
これらのガイドラインに従ってデータを保護してください
現時点では、単一要素認証を使用している企業はほとんどありません。
「リモートアクセスの多要素認証機能を強く推奨します」とクリーベル氏は述べた。「もしそうでない場合、あるいは組織が広範なネットワークを有し、アプリケーションが多面的で多数のエントリポイントを持つ場合は、はるかに高い閾値を設定したパスワード設定の標準化されたポリシーを導入することをお勧めします。」
組織向けの追加のセキュリティ推奨事項
- 定期的にパスワードを変更し、ローテーションし、リセットしてください。
- パスワードではなくパスフレーズを使用してください。
- 企業は、組織がパスワードに関するポリシーをどのように採用すべきかについてリスクに関する議論を行う必要があります。CIO だけに責任を負わせるべきではありません。
- パスワードのブラックリストを実装します。
- すべての企業は、何らかの形の試行/失敗によるパスワード ロックを導入する必要があります。
8文字では7文字足りません
クリーベル氏は、機関は複雑なパスワードの使用を推進する必要があると述べた。文字、記号、数字の組み合わせを増やすだけでなく、文字数も増やす必要がある。多くの人がまだ8文字しか使っていないが、それでは全く不十分だとクリーベル氏は指摘した。
クリーベル氏は、15 文字のパスワードの導入を主張する一方で、企業が人々の抵抗を招くほどの負担をかけたくないため、より強力なポリシーを正式に制定するには、ある程度の組織的な強さが必要であることを認めている。
「単に文字を追加するだけでも、パスワードのハッキングが飛躍的に難しくなります」とクリーベル氏は付け加えた。
パスフレーズはアルファベットスープよりも優れている
さらに良いことに、パスフレーズは、たとえ一見分かりやすいものであっても、ハッキングが非常に困難です。クリーベル氏によると、ハッカーが現在利用できるツールをもってしても、「メリーさんのひつじ」のような単純なものでさえ解読は困難だそうです。
「このフレーズに、たとえば『a』と『little』の間のスペースを削除するなど、ごく単純な変更を加えるだけで、パスフレーズを解読することはほぼ不可能になります」とクリーベル氏は述べた。
クリーベル氏は、企業に対し、パスワードのブラックリストを作成し、その使用を禁止することをセキュリティポリシーに盛り込むことを推奨しています。これは、防御策における最近の動向です。さらに、企業は、これらのリストに単に一般的なパスワードだけでなく、会社の所在地など、明らかな情報に関連するパスワードも含めるようにする必要があります。
アルバシアウスカス氏は、組織のセキュリティ確保の鍵は多段階的なアプローチにあると述べた。企業は組織内にサイバーセキュリティポリシーを策定し、その実施を専門とする専門家を配置し、従業員にサイバーセキュリティリスクに関する教育を継続する必要がある。また、アカウントのセキュリティ確保を支援する最新のテクノロジーツールも必要だ。
「パスワードマネージャーは、パスワードを安全に保存できるだけでなく、従業員間で共有することも可能にします」とアルバシアウスカス氏は述べた。
多くのパスワード マネージャーが提供するパスワード生成ツールは、文字、数字、記号のランダムな組み合わせで構成される強力で一意のパスワードを自動的に作成します。
「パスワードマネージャーを使用することで、企業は人為的なミス、つまり簡単なパスワードの作成やその再利用を防ぐことができます」とアルバシアウスカス氏は付け加えた。
パスワード保護プロトコルを強化するためのベスト プラクティスについては、パスワード管理ポリシー (TechRepublic Premium) をダウンロードしてください。
