Feet walking across a keyboard

IT管理者は通常、エンドユーザーが脆弱で推測しやすいパスワードを作成する場合、何に注意すべきかを知っている。しかし、一般的でありながら見過ごされている脆弱なパスワードの一種に、キーボード・ウォーク・パターンがある。キーボード・ウォーク・パスワードとは、通常、キーボードのキーの上を歩くようなパターンで順番に移動することによって作成されるパスワードを指します。

これは、「qwerty」や「asdfgh」のように、キーボード上で隣り合うキーによって形成されるパスワードである。 これは横一直線だったり、縦一直線だったり、ジグザグパターンだったりする。

これらのパターンはユーザーにとって覚えやすく、一見ランダムに見えるかもしれないが、重大なセキュリティリスクをもたらす。これらのパターンは、自動化されたツールを使って推測したりクラックしたりすることが容易なため、脆弱とみなされる予測可能なパスワードを作成します。

なぜエンドユーザーはキーボード・ウォークを使うのか?

エンドユーザーがキーボード・ウォーク・パスワードを作る単純な理由は、覚えやすいからです。選択肢が与えられた時、エンドユーザーはセキュリティよりもスピードと覚えやすさを優先します。キーボードの隣り合ったキーのパターンに従うことで、パスワードを素早く記憶することができるのです。

Specops Softwareの最近の調査によると、キーボードの歩き方のパターンが、漏洩したパスワードに広く使われていることが明らかになった。例えば、「qwerty」というパターンは、8億件の漏洩パスワードを分析した結果、100万回以上見つかりました。

これは最も一般的なキーボード・ウォークであり、エンドユーザーがキーボードから選択できるパターンは他にもたくさんある。

一見すると安全そうに見えるキーボード・ウォーク・パスワードの例としては、「qwertyuiop」、「Zxcvbnm」、「iuytrewQ」などがありますが、これらは予測可能なものであり、漏洩したパスワード・データによく見られます。

組織はまた、異なる国で働く人々が使用するかもしれない異なるキーボードレイアウトを考慮する必要があります。最も一般的なキーボードレイアウトは、Qwerty、Azerty、Qwertz です。

Active Directoryでキーボード・ウォークを検索する

あなたの組織でどれだけのエンドユーザーがキーボードウォークパスワードを使っているか知りたいと思いませんか?

Specops Password AuditorでActive Directoryの読み取り専用スキャンを実行し、パスワード関連の脆弱性を詳細に示すエクスポート可能なレポートを入手してください。

無料ツールのダウンロードはこちらから

なぜキーボードウォークはクラックされやすいのか?

キーボードウォークパスワードは、攻撃者が容易に推測できる予測可能なパターンに従っているため、「admin」や「password」のようなパスワードと同様に脆弱です。

ハッカーは、キーボード上の予測可能なパターンに従ったキーの可能なすべての組み合わせを体系的に試すことによって、キーボードウォークパスワードをクラックするために総当たりテクニックを使用します。

彼らは、これらの一般的なパターンをテストするプロセスを自動化するツールを使用し、そのようなシーケンスに従うパスワードを効率的に推測できるようにします。

さらに、ハッカーは、「qwerty」や「123456」のような弱いパスワードの基本用語として使用されるキーボードウォークパターンを含む、一般的なパスワードの事前定義されたリストまたは「辞書」を活用することで、辞書テクニックを使用します。これらの一般的なパターンを体系的に試すことで、ハッカーはシンプルで覚えやすいパスワードを使いたがるユーザーの傾向を効果的に利用することができます。

キーボードウォークパスワードをブロックする

ショートカットを探すことが、そもそもキーボード・ウォーク・パターンにつながるからだ。組織は、複雑なパスワードよりも長いパスフレーズを使うことの利点についてエンドユーザーを教育することで、強力なパスフレーズを作成するよう促すことができる。

少なくとも3つのランダムな単語で構成され、合計15文字以上のパスフレーズを作成するように指導することができる。さらに、組織はエンドユーザーがキーボード・ウォークを含む脆弱で危ういパスワードを選択しないようにブロックする必要がある。

Specops Password Policyのようなツールを使用することで、一般的な単語をブロックし、漏洩したパスフレーズを継続的に監視することができます。パスワードポリシーでは、ユーザ名、表示名、連続文字、インクリメンタルパスワード、現在のパスワードの一部の再利用をブロックする必要があります。

さらに、Specopsパスワードポリシーでは、ブロックする単語のカスタム辞書を作成し、一般的または予測可能なパスワードの使用をさらに防止することができます。

また、Specops Password Policyは、40億を超える漏洩したパスワードのデータベースに対してActive Directoryを継続的にスキャンし、ユーザーが過去に公開されたパスワードを選択できないようにします。 この包括的なアプローチにより、標的型攻撃から保護し、全体的なパスワードセキュリティを強化することができます。Specopsパスワードポリシーと漏洩パスワード保護を導入することで、組織のサイバー耐性を強化し、NISTなどの業界規制に準拠することができます。

予測可能なパスワードの挙動によってネットワークセキュリティが損なわれないようにしましょう。キーボードウォークパターンをブロックし、Active Directoryを潜在的な攻撃から保護するための積極的な対策を講じましょう。

すぐSpecops Softwareのデモをご予約いただくか、無料トライアルを開始して、効果的にパスワードを保護する方法をご確認ください。

Specops Softwareがスポンサーとなり、執筆しました。