ペンテストパートナーズ(PTP)の調査によると、英国首相顧問のドミニク・カミングス氏が視力を「検査」するために、ダラムにある両親の農場からバーナード・キャッスルまで国中を旅していたところを逮捕されて以来、英国人はパスワードに「ビジョン」という言葉を使い始めたという。
それだけでなく、情報セキュリティ業界によると、「covid」「corona」「lockdown」といった言葉の人気は時間とともに高まったという。
PTPは調査結果を説明する投稿の中で、「当社ではPapaという自社開発のソフトウェア製品を持っており、当社のコンサルタントや顧客がWindowsドメインのパスワード監査に使用しています。Papaは組織内で使用されている基本単語を識別し、その傾向が時間の経過とともにどのように変化するかを確認できます」と述べています。
ドミニク・カミングスによる視力の標準テスト: 妻と 4 歳の子供を連れて、城まで車で 1 時間かけて行き、「川岸」で止まる...
興味深いことに、パスワードにおける「コンピュータ」という単語の使用は、2019年10月と11月に見られたピーク時から大幅に減少しており、PTPは、人々がこの単語を職場にあるデスクトップマシンと関連付けているためだとしている。
一方、単語そのもの(「password」)に基づいたパスワードは、今年も他の一般的な単語よりもはるかに多く使用されており、PTPは次のように警告しています。「大規模ドメインのすべてのユーザーに対して「Password1」を試すと、ドメインアカウントが侵害される可能性が高くなります。これはよくある間違いです。」
パスワード管理は、情報セキュリティにおいて決して消えることのない、頼りになる基本原則の一つです。今年初め、パスワード管理会社Logmeinは、ユーザーの3分の2が同じパスワードを使い回したり、基本的なパスワードのバリエーション(passw0rd、p4ssword、p455w0rdなど)を使い回していると推定しました。これは、パスワードの有効期限切れに煩わされる必要はないという国家サイバーセキュリティセンターのアドバイスと矛盾する結果です。ただし、この諜報機関の分派は、古いパスワードを定期的に期限切れにすることは、ユーザーが新しいパスワードを設定する際に古いパスワードのバリエーションを使い回すことを促すだけだと考えています。
「定期的なパスワード変更は、セキュリティを向上させるどころか、むしろ害を及ぼします。多くのシステムでは、ユーザーに定期的に、通常は30日、60日、または90日ごとにパスワードの変更を強制します。これはユーザーに負担をかけ、アカウントの回復にはコストがかかります」とNCSCは述べています。
それ以外の場合は、パスワードマネージャー製品を使用して、適度に安全なパスワードを生成・保存することが業界の標準的なアドバイスです。それができない場合は、NCSCはウェブコミックXKCDで普及した3つの固有の単語を使用する方法を推奨しています。
しかし、多要素認証によるバックアップがなければ、パスワード自体はあまり役に立ちません。ドナルド・トランプ米大統領も今年初めにそれを学んだかどうかは定かではありません。しかし懸念されるのは、一部の組織が依然としてパスワードだけでネットワーク王国のセキュリティを確保できると考えていることです。®
