パスワードは面倒なものだ。複雑でユニークなオプションは覚えるのが大変だが、複数のアカウントで同じパスワードを再利用するのはもっと悪い。解決策は?ランダムな文字列ではなく、単語やフレーズ全体で考えることです。
パスワードが重要な理由は、誰もが知っている。ベライゾンによると、最初の攻撃によるアクセスの83%は、盗まれた認証情報によって得られている。例えば、「キーボード・ウォーク」(「qwerty」や「12345」など)や重要な日付、あるいは好きなスポーツチームや愛する人の名前などは避ける必要がある。
これらは推測が比較的容易なため、大きな赤信号となる。では、パスワードをもっと複雑にすれば解決するのだろうか?
覚えにくい
あなたは、文字(一部は大文字)、数字、特殊文字を一見ランダムに集めたものが強みになると思うかもしれない。問題は、そのようなパスワードはあなたが思っているほどランダムではないということだ。ユーザーの行動は、パスワードの発散ではなく、収束を促している。同じ古いパターンが繰り返し出てくるおかげで、パスワードはより似てきているのだ。
なぜこのようなことが起こるのか?このような複雑なパスワードは、人々にとって覚えるのが難しいため、セキュリティの要求に対処する方法を考え出した。例えば
- 一般的な辞書の単語やキーボードの歩き方を語源とするもの
- 大文字の頭文字
- 数字と末尾の特殊文字
- 一般的な文字の置き換え(例えば、@をaに、0をoに)。
このアプローチによれば、「complicated」という単語は「Complic@ted1!ほとんどの組織では、デフォルトのActive Directoryのパスワード・ポリシーに合致しているため、これで合格かもしれない。
しかし、攻撃者は、コンピュータ・ソフトウェアが推測しやすいこれらの戦略を熟知している。犯罪者たちはその知識を利用して、ブルートフォース攻撃やハイブリッド辞書攻撃を最適化するのです。
長さの強み
ユーザーが複数のアカウントに同じパスワードを使いたくなる理由は簡単だ。Bitwardenによると、インターネットユーザーの68%が10以上のウェブサイトのパスワードを管理しており、そのうちの84%がパスワードの再利用を認めています。これは、パスワードが漏洩する可能性を大幅に高める。
アクティブディレクトリ内のすべてのパスワードを強化する簡単な方法の1つは、パスワードを長くし、総当たり攻撃やハイブリッド辞書攻撃によるクラックを困難にすることです。
多くの場合、パスワードは長ければ長いほど強力です。しかし、再び複雑性の問題に直面することになります。ランダムな文字の長い文字列はエンドユーザーにとって非常に覚えにくく、振り出しに戻る可能性がある。
解決策は、実際に覚えられる長いパスワードを設計することだ。そこで登場するのがパスフレーズです。以下、2つのパスワードの例を見てみましょう。1つは8文字、もう1つは3倍近い21文字です。
冷蔵庫-エレファント-フォン
84 “fhg#l
つ目のパスワードの方が複雑なので、より安全なのでは?そうとは限らない。
最初の例には長さがある。もっと重要なのは、この2つのパスワードのうち、実際に覚えているのはどちらかということだ。
ほとんどのユーザーにとっては、長い方のフレーズだろう。
米国当局はパスフレーズの利点を認めている。FBIは、パスワードの長さは複雑さよりも重要であると助言する国立標準技術研究所(NIST)のガイダンスを指摘している。「短い複雑なパスワードを使う代わりに、複数の単語を組み合わせた15文字以上のパスフレーズを使いましょう。
強力なパスフレーズのトップ・ヒント
パスワードからパスフレーズへの移行は大変に思えるかもしれないが、いくつかの簡単なアプローチが役に立つ。例えば、イギリスのNational Cyber Security Centreは、3つのランダムな単語を組み合わせることを推奨しており、Canadian Centre for Cyber Securityは、パスフレーズは少なくとも4つの単語と15文字の長さであるべきだとしている。
ランダムな単語ジェネレーターは役に立ちますし、エンドユーザーにわざとスペルを間違えてもらうこともできます。良いパスフレーズを作るためのヒントは以下の通りです:
- 予測不可能であること:パスフレーズはランダム性が重要です。Michael-Jordan-Basketball」のように、3つの単語がつながったものを選んではいけません。Specopsパスワードポリシーでは、Active Directoryにブロックワードのカスタム辞書を追加できます。
- 再利用しない:これは当たり前のことのように思えるかもしれませんが、なかなか難しい習慣です。Specops Password Policyのようなツールを使えば、Active Directoryを継続的にスキャンし、漏洩したパスフレーズを見つけることができます。
- MFAを有効にする:セキュリティを強化するには、パスフレーズ、ワンタイムコード、顔スキャンのような生体認証など、複数レイヤーの認証が不可欠です。もちろん、MFAは万全ではありませんが、ハッカーにとってはより難しくなります。
セキュリティとユーザー体験の向上
問題の一部は、安全なパスワードの開発に伴う不便さにある。Specopsパスワードポリシーが管理者から見てシンプルなのはそのためです。長いパスフレーズをサポートするか、単に従来のパスワードを保持するかを選択し、エンドユーザーへの情報提示方法を決定できます。
また、スムーズでわかりやすいユーザーエクスペリエンスを開発することも重要です。Specops Authentication Clientは、ユーザが新しいポリシーに対応できるよう、リアルタイムのインサイトを含むダイナミックなフィードバックを提供します。また、長さベースのエージングを提供し、ユーザーが長いパスワードを選択した場合に、リセットまでの時間を長くして「報酬」を与えることもできます。
パスワードからパスフレーズへの移行を最小限の手間で行いたいとお考えなら、今すぐエキスパートにご相談いただき、Specopsパスワードポリシーがお客様の組織にどのように適合するかをご確認ください。
Specops Softwareがスポンサーとなり、執筆しました。
Comments