常にパスワードを考え出して入力しなければならないことより悪いことがあるとすれば、それは私たち全員がやっている愚かなやり方です。
そう、今日はまた世界パスワードデーです。そして、それは一つのことを意味します。あらゆる企業が、私たちが恥ずべき存在であると丁寧に、しかし毅然と告げているのです。
例えば、Avastは「残念ながら、世界中の多くの人々、特にアメリカ人の83%が、簡単に破られるような脆弱なパスワードを使用しています」と警告しています。そうです、10人中8人以上がこの大声で叫ばれたメッセージを理解していないのです。この残念な副作用は、世界パスワードデーが永遠に終わらないということです。
私たち全員がバカだという結論に至った後、なんとセキュリティソフトウェアを販売するアバストは、25%の人がパスワードを一度も(そう、一度も)変更したことがないと指摘しています。つまり、パスワードに関する2つの重要なメッセージは次のようになります。
- 複雑なものを選んで、
- 定期的に交換しましょう
…そのままトイレに流しました。
Avast 以外にも、パスワードが間違っていることは、料理をすべきなのに面倒でテイクアウトを頼むのと同じではなく、実際には大きな問題だと指摘する企業は数多くあります。
近年、数千万人ものユーザー名とパスワードが盗まれ、オンラインで容易に売買されるという、前例のない大規模なデータ侵害事件が相次いでいます。もしあなたが同じパスワードを別のサイトで使い続けているなら、あなたはまさに格好の標的です。その結果、ほぼすべての企業が盗難ID犯罪への対策に追われています。
SecureAuth という別の企業は、確認されたデータ侵害の 81 パーセントに、依然として弱いパスワード、デフォルトのパスワード、または盗難されたパスワードが関係していると指摘しています。
非難の拡散
もちろん、賢明な人はHaveibeenpwned.comのようなサイトを使って、自分のメールアドレスが大規模なデータ漏洩に巻き込まれていないか確認しているでしょう。いや、もちろん確認していません。Avastによると、アメリカ人の58%は一度も確認したことがないそうです。しかも、Avastは自社のユーザー、つまりわざわざセキュリティソフトにお金を払っているユーザーを対象に調査を行ったことを忘れてはいけません。
しかし、システム管理者の皆さんが、1Password のようなパスワード マネージャーを使用しており、パスワードを漏らすような事態に陥ることはないだろうと得意げになる前に、私たちには皆さんに冷静に考えてほしいニュースがあります。
OneLogin にはさらに心配な統計があります。システム管理者の 3 分の 2 (65%) は従業員のパスワードを一般的なパスワード リストに照らしてチェックしておらず、4 分の 3 以上 (75%) は従業員のパスワードをパスワード複雑性アルゴリズムに照らしてチェックしていません。
そうです、あなたも問題の一部です。複雑なパスワードを考えなければならないことに皆が文句を言うのは当然ですが、それはあなたの仕事でもあります。従業員が社内システムとInstagramで同じパスワードを使っている可能性もあるのです。
OneLoginによると、ネットワーク管理者の63%は特殊文字やパスワードの最小文字数を要求していません。数字は71%、大文字と小文字は72%です。そして驚くべきことに、63%がパスワードローテーションポリシーを導入していません。皆さんはどうしているのでしょうか?
わかりました。あなたのやっていることは分かっています。同じデータダンプによると、システム管理者は毎年2ヶ月半も社内パスワードのリセットに時間を浪費しているそうです。ジャニスは、自分の巧妙な「QWERTY」パスワードを破るのがいかに簡単か気づいていないかもしれませんが、少なくとも、あなたが「考えさせた」複雑なパスワードを彼女が忘れてしまうたびに、毎週月曜日に彼女と付き合わなくて済むのです。
しかし、そう簡単には消え去るものではありません。OneSpanによると、金融機関の96%が依然として、ユーザー名とパスワードを認証に結びつける従来の仕組みに依存しています。しかも、アカウント乗っ取りの44%は、データ侵害で漏洩したユーザー名とパスワードの組み合わせが原因であるにもかかわらずです。
答えです!
何らかの希望はある。OneSpan によると、調査対象者 (「全米の IT 意思決定者 300 人」) の 60% が「2019 年に生体認証や AI/機械学習を含む新しい多要素認証テクノロジーに投資する予定」だという。
しかし、その「投資計画」は、今年度に計上した増額予算の獲得を条件としているのではないかと疑問に思います。正直に言うと、皆さんが増額予算を獲得できないことは周知の事実です。もし獲得できたとしても、実際には必要のない新しいサーバーの2FAに費やすはずだった資金を無駄にしてしまうでしょう。
Androidアプリは危険なパスワード管理の宝庫であることが判明
続きを読む
さて、世界パスワードデーの締めくくりに、避けられない話題に移りましょう。解決策は何でしょうか? なんと、パスワードマネージャーです。なんと、50年連続で登場しています。
しかし、他にも注目すべき提案があります。Unisysは「この日を『National PassPHRASE Day』と呼ぶべきかもしれない!PassWORDの「WORD」こそが、人々を躊躇させる要因の一つだ」と提言しています。
確かにその通りです。でも、それはまるで「フーバー」ではなく「掃除機」、あるいは「バンドエイド」ではなく「絆創膏」と言わせようとするようなものです。Spacke。Google。パスワード。そんなのは無理でしょう。
Stealthbits の VP である Rod Simmons 氏は、次のように語っています。「30 年間にわたり、複雑なパスワードの作成についてユーザーを苦しめ、その後、何らかの残酷な理由で 60 ~ 90 日ごとに新しいパスワードを作成するよう強制してきましたが…」
素晴らしいスタートですね。きっとご賛同いただけると思います。ロッド氏の解決策は何でしょうか?NISTのアドバイス、具体的にはNIST 800-63bです。彼はこのガイダンスを高く評価しています。「新しいガイダンスの優れた点は?3つのメリットがあります。1) パスワード変更は、不正使用の兆候がある場合、または不正使用辞書に登録されている場合にのみ行う。2) 時間ベースのパスワード有効期限を廃止する。3) 複雑さに関するルールを緩和する。」
ちょっと待って。最後の2つは、みんながみんなやっていないと批判していたことなんだよ。
パスワードに対する真の答えは? パスワードを完全に廃止することだと、Cequence Securityの共同創業者アメヤ・タルワルカー氏は言います。「いつかパスワードのない世界が実現することを願っています。それまでは、いくつかの良い習慣で自分を守りましょう。
- 複数のサイトで同じパスワードを使用しないでください。
- 携帯電話アプリで生体認証を使用する
- 少なくとも2つのオンラインパスワードマネージャーを使用して、資格情報を安全に保存および同期します。
- 金融およびヘルスケア関連のアプリケーションのパスワードを定期的に変更してください。」
ということで、今年の答えはパスワードマネージャー1つだけではありません。なんと2つのパスワードマネージャーです!
ということで、私たちはもう 1 年間、矛盾した不可能なアドバイスをするのはやめて、ビールを 1 杯か 6 杯飲みに行きましょう。®
PS:多要素認証、Web サイトごとに固有の長いパスフレーズの使用、必要に応じてパスワード マネージャーの使用、パスワードが盗まれた場合は変更することをお勧めします。
