パスワードの問題-漏洩しやすく、覚えにくく、管理しにくい、脆弱で再利用可能な認証情報-は、ユーザーと組織を悩ませている。しかし、技術の進歩にもかかわらず、パスワードは依然として世界のオンライン・サービスの88%を守っている。
では、ITリーダーはこの課題をどのように克服すればよいのでしょうか?
この記事では、パスワードがハッキングされやすい理由を探り、組織のセキュリティ対策を強化するためにできることについて説明します。
パスワードがハッキングされやすい理由とハッカーの手口
パスワードをハッキングするのは比較的簡単です。なぜか?それは、人間の予測可能性に起因する。
ほとんどのユーザーは、標準的な米国のキーボードで、小文字、大文字、記号、数字を含む94文字の限られたセットから選択する。表向きは、8文字のパスワードの組み合わせは6兆通りにもなるはずだが、現実には、ユーザーが作成したパスワードがこれほど複雑なことはほとんどない。
人間は習慣の生き物なのだ。そして、ユーザーの実に55%がパスワードの管理を記憶だけに頼っていることから、パスワードを再利用したくなるのは容易に理解できる。
そして、そこに悪者が入り込んでくる。パスワードを再利用する人間の傾向を理解し、多くの悪党はユーザー認証情報を入手することに全力を注ぐ。あるサイトに侵入してユーザー名とパスワードを入手できれば、同じユーザー名とパスワードを他のサイト(企業サイトだけでなく、オンライン銀行、オンライン小売業者、ソーシャルメディアサイトも含む)でも使える可能性が高いことを知っているのだ。
リスクを考慮した安全なパスワード・セキュリティ・ポリシーを作成する
パスワード・セキュリティ・ポリシーの有効性を判断するために、以下のようなツールがあります:
専用のスプレッドシート:専用のスプレッドシート:パスワードポリシーの有効性を分析するために、専用のスプレッドシートを使用している組織もあります。この種のスプレッドシートでは、パスワードの最小長、複雑さの要件、有効期限など、特定のパラメータを入力することができます。そして、パスワードの変更を余儀なくされるまでに攻撃者が何回推測できるかをスプレッドシートの計算式で算出し、パスワードポリシーの強度を効果的に数値化します。
オンライン・パスワード強度チェッカー:パスワード・ポリシーの強度をテストするもう一つの方法は、オンライン・パスワード強度テスターを活用することです。専用のスプレッドシートのように、これらのツールはパスワードをレビューし、ハッカーがクラックするのが簡単か難しいかを判断します。ただし、これらのツールには決して本物のパスワードを入力しないことを忘れてはならない。その代わり、テスト用には似ているが同一ではないパスワードを使用すること。
パスワード監査人:Specops Password Auditorのようなパスワード監査ツールは、パスワード関連の潜在的な脆弱性を特定し、解決するのに役立ちます。
無料の読み取り専用ツールであるSpecops Password Auditorは、Active Directoryを素早くスキャンし、脆弱なパスワードや漏洩したパスワードをチェックします。また、古くなった特権管理者アカウントや非アクティブな特権管理者アカウントも特定できるため、セキュリティのさらなる強化に役立ちます。
パスワードの重要性
パスワードレス社会」の到来が叫ばれていますが、パスワードがすぐになくなるわけではありません。
組織のセキュリティを強化するために、Specops Password Policyのようなパスワードセキュリティ管理ソリューションの導入を検討してください。
Specops Password Policyを使用すると、カスタムパスワードルールを作成し、業界規制への準拠を確認し、パスフレーズを強制し、カスタム辞書を作成することができます。
さらに、40億件を超える漏洩パスワードのデータベースとActive Directoryを継続的にスキャンすることで、漏洩パスワードの使用を監視できます。これは、パスワード変更時だけでなく、24時間365日行われます。
MFAとパスワードマネージャーがリスクに与える影響
多要素認証を導入することで、パスワードポリシーにセキュリティ層が追加され、エンドユーザー認証情報を入手したハッカーの侵入を阻止することができます。そして、他のセキュリティ・テクノロジーと同様、多要素認証は絶対的なものではありませんが、大きな影響を与えます。マイクロソフトは、漏洩した企業アカウントの99%にMFAが欠けていることを確認しました。
パスワード・マネージャーは、あなたの情報漏洩を最小限に抑えるのに役立ちます。ほぼ無限のユーザー認証情報の組み合わせを生成して保存できるため、ユーザー(および組織)のセキュリティを効果的に高めることができる。
このようなツールはまた、ユーザが漏洩したパスワードを使用するのを防ぎ、セキュリティをさらに強化します。
エンドユーザが最前線の防衛線となるよう権限を与える
強固なパスワード・ポリシーと技術的なソリューションはセキュリティ戦略にとって重要ですが、ユーザーを最良の最前線と考えるべきです。従業員を教育し、権限を与えることで、従業員は組織のサイバーセキュリティを積極的に守ることができます。
以下のような戦略を実施しましょう:
- 定期的なセキュリティ意識向上トレーニングを実施する:パスワードのベストプラクティス、フィッシングやソーシャルエンジニアリング攻撃の発見と回避などを取り上げる。
- パスワード・マネージャの使用を奨励する:パスワード・マネージャの仕組みやメリットについてユーザーを教育する。
- セキュリティ意識の高い企業文化を促進する:潜在的なセキュリティ脅威を特定し、報告した従業員を評価し、報奨を与える。
- フィッシングの模擬演習を実施する:定期的にフィッシングメールを送信して従業員の意識をテストし、被害に遭った従業員には即座にフィードバックとトレーニングを行う。
今すぐパスワードセキュリティを強化しませんか?今すぐSpecopsパスワードポリシーをお試しください。
Specops Softwareがスポンサーとなり、執筆しました。
Comments