Specops Password Dictionary

多くの組織と同じように、従業員は脆弱なパスワードや推測されやすいパスワードに頼り、その過程でハッカーやサイバー犯罪者にレッドカーペットを敷いてしまっているかもしれません。では、どうすれば従業員が組織のデータやシステムの鍵をドアマットの下に置き忘れるのを防ぐことができるのでしょうか?カスタム辞書をパスワードポリシーに組み込むことが、その解決策の一部となるはずです。

この記事では、カスタム辞書とは何か、なぜ無視できないのか、サイバーセキュリティ戦略にどのように適合するのかについて説明します。

また、カスタム辞書に含めるべき単語や用語の例を示し、Specops Password Policyのようなツールを使用して、これらの辞書を既存のActive Directoryパスワードポリシーにシームレスに統合する方法についても説明します。

カスタム辞書とは?

カスタム辞書とは、エンドユーザがパスワードを作成する際に使用を禁止される単語、フレーズ、文字の組み合わせの専門的なリストです。カスタム辞書は、標準的な単語リスト以上のものであるべきで、組織に特有の用語や、業界に関連する一般的な単語やフレーズを含むべきである。

基本的に、カスタム辞書をパスワード・ポリシーに組み込むことは、標的型クレデンシャル・ベースの攻撃に対する防御の追加レイヤーを組織に与える。

なぜカスタム辞書が必要なのか?

カスタム辞書が重要な理由は数多くあります:

  • エンドユーザは、脆弱なパスワードや推測されやすいパスワードを作成します:つまり、多くのユーザーは覚えやすい(つまり推測しやすい)パスワードを選択します。このようなパスワードには、個人情報(配偶者の名前)、一般的な単語(admin、password)、禁止されているパスワードの単純なバリエーション(qwerty123!)などがあります。もう1つの魅力的で記憶に残るオプションは、特定のビジネスや業界に関連する単語を選択することです。
  • 総当たり/ハイブリッド辞書攻撃のリスク:サイバー犯罪者は、パスワードをクラックするために、ブルートフォース攻撃やハイブリッド辞書攻撃を頻繁に使用します – そして、あなたがカスタム辞書を設置していない場合、これらの種類の攻撃は非常に効果的である可能性があります。例えば、少なくとも一握りのエンドユーザーがパスワードにこれらの用語を使用していることを期待して、攻撃辞書に組織名や製品を追加することがあります。
  • ソーシャル・エンジニアリングと標的型攻撃:サイバー犯罪者は、ソーシャルメディアやその他の公開情報源を通じて、あなたの組織やその従業員に関する情報を簡単に収集することができます。そして、この情報を利用して、パスワードクラックを試みるための標的型単語リストを作成することができる。カスタム辞書に企業特有の用語や一般的な従業員情報が含まれていることを確認することは、こうした攻撃を阻止するのに役立ちます。
  • 業界特有の脆弱性:どの業界にも専門用語や一般的に使用される用語があり、ハッカーはこの知識を利用してパスワード攻撃をより的確に狙います。カスタム辞書を業界用語で強化することをお忘れなく。パスワードポリシーにセキュリティ層を追加する簡単な方法です。

あなたの組織のActive Directoryパスワードの健全性はどうですか?今すぐSpecops Password Auditorで無料の読み取り専用チェックをお試しください

カスタム辞書の例

カスタム辞書の概念をよりよく理解するために、あなたがMid Cheshire NHS Foundation TrustのITを担当していると想像してみてください。組織のカスタム辞書を作成する際には、次のような単語や用語を含めるとよいでしょう:

業界用語

他の業界と同様に、医療従事者はパスワードを作成する際に業界専門用語をデフォルトで使用することがよくあります。組織をより良く保護するために、カスタム辞書には、医療分野に精通した攻撃者が最初に試す可能性のある用語を含めるようにしたい。例えば、以下のようなものがあります:

  • NHS(国民保健サービス)
  • A&E(事故と救急)
  • トリアージ
  • 外来患者
  • 入院患者

組織特有の用語

組織固有の用語は、その組織を特別に標的とする者にとって、最初に推測されるものの1つです。このような標的型攻撃のリスクを低減するために、カスタム辞書でパスワードにこれらの用語が使用されないようにする。例を以下に示す:

  • Mid Chesire
  • NE(頭字語)
  • 財団信託
  • 病棟名(例:ナイチンゲール、フローレンス)
  • 診療科名(例:放射線科、病理科)
  • 病院の建物名(例:ヴィクトリア・ウィング)

一般的なパスワードパターン

業界や組織特有の用語に加え、ユーザが一般的で推測しやすい形式に頼ることを防ぎたい。一般的なパスワードパターンに従うことを禁止することで、ユーザーは独自のパスワードを作成せざるを得なくなります。例えば、以下のようなものがあります:

  • NHS2024!
  • Welcome123!
  • ChangeMe1!
  • 看護師RN2024
  • Dr[姓]2024

Specopsパスワードポリシーは、カスタム辞書を簡単に作成します。

カスタム辞書をパスワードポリシーに統合することで、組織のセキュリティを強化し、ユーザ、データ、システムの安全を守ることができます。しかし、それを実現する最善の方法は何でしょうか。ほとんどの組織では、Specops Password Policyのようなツールが最適です。

Specops Password Policyを使用すると、禁止パスワードのカスタマイズされたリストを簡単に作成およびインポートし、Active Directory環境にシームレスに統合できます。

Specops Password Policy settings

カスタム辞書とSpecopsの漏洩パスワード保護機能(Active Directoryで40億件以上の漏洩パスワードをスキャン)を組み合わせることで、辞書攻撃やパスワードの再利用に対する強力な防御が可能になります。

これらのツールにより、組織のActive Directoryパスワードセキュリティを強化し、セキュリティ侵害のリスクを低減し、業界標準へのコンプライアンスを確実に満たすことができます。

カスタム辞書を追加し、40億を超える漏洩パスワードを排除することで、組織の安全性を高める準備はできましたか?

Specops Password Policyを無料でお試しください。

Specops Softwareがスポンサーとなり、執筆しました。