パスワードに関する7つの重要ルール–米政府セキュリティ専門家のアドバイス

今回は「パスワードに関する7つの重要ルール–米政府セキュリティ専門家のアドバイス」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 自宅やオフィスをサイバー攻撃から守る方法について助言を求めているなら、最初に話を聞く相手は、米政府機関のためにセキュリティ対策を日々実践している人々が良い。

 米国立標準技術研究所(NIST)の職員たちが、「Cybersecurity Basics」(サイバーセキュリティの基本)というシンプルなページを作成した。これは、4巻からなる「Digital Identity Guidelines」(デジタルIDガイドライン)の技術情報を、中小企業のオーナーやマネージャー向けに一連の簡潔なガイドラインとしてまとめたものだ。

(レポート全文を読んでみたいという場合は、付録Aの「Passwords」セクションでIT担当者やサービスプロバイダー向けの有益なアドバイスが見つかるだろう。このコンテンツは、定期的なパスワード変更の強制をやめるようIT部門を説得しようとしている場合に、特に役立つはずだ)

 もっとシンプルで実用的なガイドライン集を求めているなら、米サイバーセキュリティ・インフラセキュリティ庁(CISA)が運営するウェブサイト「Secure Our World」を参照してほしい。技術的な知識のない消費者を対象としており、一般的な脅威に対処するために友人や家族と共有できる確かな情報源となっている。

 筆者はこれらすべてのドキュメントの最新バージョンに目を通して、パスワードに関して従うべき7つのルールをまとめた。

 強固なパスワードの条件とは何だろうか。

 これらの要素の中で、長さが最も重要というのが専門家の意見だ。実際に、NISTの専門家らは、侵害されたパスワードデータベースに関する最近の分析で、パスワードを長くすることの方が複雑にしようとするよりもはるかに重要であることがわかった、と述べている。

 3つ以上の無関係な単語を記号や数字で区切ったパスフレーズも有効だ。

 平均的な人は数十個のパスワードを持っている。アクティブなオンライン生活を送っている人なら、数百個の認証情報を持っているかもしれない。長くてランダムな一意のパスワードは、ほんの数個でも暗記できないし、そうする必要もない。すべてのデバイスにパスワードマネージャーをインストールして、長くて推測不可能な一意のパスワードを作成する作業と、暗号化された安全な保管庫に保存する作業を任せよう。

 厳密に言えば、ペンと紙のノートでその作業の一部を実行することも可能だが、はるかに手間がかかる。だが、ソフトウェアベースのパスワードマネージャーには、さらに多くの機能がある。真にランダムなパスワードを瞬時に作成して、認証情報を暗号化されたデータベースに保存できるほか、すべてを複数のデバイス間で同期することもできる。

 しかし、保護における最も重要な層は、すぐにはわからないものだ。パスワードマネージャーは、保存済みの認証情報に関連付けられたドメインを認識しているため、承認されていないドメインではパスワードを入力しない。そのため、高度なスキルを持つ攻撃者がフィッシングメールを作成し、銀行やブローカーからのメールだと思い込ませて、偽のドメインへのリンクをユーザーにクリックさせたとしても、パスワードマネージャーは認証情報の入力を拒否する。

 このワンステップにより、ユーザーは立ち止まってメッセージをもっと注意深く確認するようになるだろう。これはフィッシング対策で何より重要なステップだ。

 お気に入りの認証情報一式(ユーザー名とパスワード)を複数のサイトで使い回すのは、人間の自然な本能だ。確かに、その方が覚えやすくなるが、1つのサイトでデータ侵害が発生すると、攻撃者がその認証情報一式を入手し、侵害の影響を受けていない他のサイトでも入力を試みることになるだろう。

 優れたパスワードマネージャーなら、使い回しされているパスワードにフラグを立てて、一意の強力なパスワードを別途作成するよう提案するはずだ。

注意:古いパスワードの末尾に感嘆符や数字を付け足すだけでは、新しいパスワードを作成することにはならない。よく使うパスワードの新しいバリエーションを作成するというのも同様だ。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「LibreOffice」最新バージョンを「Linux」にインストールするには
IT関連
2023-08-02 23:15
コロナ禍も1年で成長路線に復帰–大塚商会が決算発表
IT関連
2021-08-03 08:22
NTT、IOWN接続で89km離れたデータセンター間の遅延0.893ミリ秒を達成
IT関連
2024-04-13 17:39
TwoFive、フィッシングサイト検出サービスを開始
IT関連
2023-06-29 03:07
「Windows 365 Cloud PC」が正式サービス開始。月額定額制で2vCPU/8GBメモリが5570円など
Microsoft
2021-08-03 09:30
グーグル、「Workspace」向けの自動要約機能を発表–まずは「Google Docs」で提供へ
IT関連
2022-05-14 09:40
「オフィスグリコ」の決済に新たな選択肢–商品バーコードを読み取るアプリ
IT関連
2024-06-12 22:51
トイレットペーパーが片手で切れる新構造のホルダー、クラウドファンディング開始
くらテク
2021-04-15 05:10
au PAYで給与前払い KDDI孫会社が企業向けサービスを5月に提供
企業・業界動向
2021-01-19 06:35
建機の遠隔操作や自動操縦で建設現場のDXを進める東大発スタートアップARAVが6300万円を調達
ロボティクス
2021-03-09 03:39
10年前に「ムーアの法則が終わる」と言われた頃から現在までのサーバ進化の技術的模索を振り返る(前編)
サーバ
2023-09-13 01:20
クラウドへの侵害は避けられない? セキュリティリスクや侵害後の回復力を阻むもの
IT関連
2024-07-24 22:38
葛飾区、AI活用した健康ポイントサービスアプリを健康づくり事業に活用–NECが開発
IT関連
2023-06-06 19:02
チューブ入り「大根おろし」 ハウスが発売 開発に5年以上
くらテク
2021-07-29 02:12