Logging in with a password

現代の IT システム管理者は、強力なパスワード ポリシーを維持することの重要性を認識しています。この記事では、基本的なものから高度なものまで、パスワード ポリシーの進化を探り、パスワードの長さ、複雑さ、カスタム辞書の使用など、堅牢なパスワード ポリシーを作成するための重要な要素について説明します。

また、避けるべき一般的なパスワード プラクティス、パスワードの再利用に伴うリスク、およびパスワード セキュリティにおける教育の役割についても見ていきます。最後に、最も一般的なタイプのパスワード攻撃を調べ、それらを防御するためのベスト プラクティスについて説明します。

進化するパスワード ポリシー

最初のパスワードは、1960 年代に MIT で、Compatible Time-Sharing System と呼ばれるコンピューターで使用されました。個々のユーザーは、割り当てられた週 4 時間の間、自分のファイルだけにアクセスする方法を必要としていました。しかし、わずか 2 年後、最初のパスワードの盗難が発生しました。ユーザーは、システムのパスワード ファイルを印刷して、シミュレーションの時間を増やしました。

どのように見ても、システムは、外部の脅威から、またはより多くの権限を取得しようとするユーザーから、常に攻撃を受けています。

何年にもわたって、組織はパスワード ポリシーの変化するベスト プラクティスを管理する必要がありました。急いで攻撃者の裏をかこうとする中で、他のパスワード ポリシーよりも強力であることが証明されているパスワード ポリシーもあれば、まったく有害なものもありました。

長い間、NIST は、頻繁にローテーションされる長くて複雑なパスワードの使用を推奨していました。その理由は、そのようなパスワードはクラックが難しく、寿命が短いため、漏洩したハッシュによる潜在的な損害を最小限に抑えることができるというものでした.

実際、最近の報告によると、 クラックされたパスワードの 83% は、複雑さと長さの要件を満たしていたため、期待される保護を提供できませんでした。

!adfak&35.234# のような長くて複雑なパスワードを意図していたものが、!password20231# のような単純なパスワードになってしまうことがよくあります。

これは、ユーザーがパスワードを覚えたり生成したりする難しさを回避するために、単純に一般的な基本用語を使用し、パスワードのローテーションが必要な場合に値を増やしながら、複雑さの要件を満たすパスワードを作成するためです。

「パスワード」や「ようこそ」などの一般的な語根は、 Specops 2023 Password Report は、パスワードのセキュリティも低下していることを意味していました。

これにより、パスワード解読の作業が容易になりました。これは、ユーザーがパスワードの先頭と末尾に数字とともに記号を追加した共通の基本用語を再利用するのが一般的だったためです。ユーザーが自分のパスワードを覚えるのが難しくなったため、パスワードのリセットがより一般的になりました。安全性の低いパスワードを作成することがより一般的になります。

パスワードのクラッキング

いくつかの点で、パスワード ポリシーの過去のベスト プラクティスにより、パスワード クラックが容易になった可能性があります。暗号化とハッシュ テクノロジが向上する一方で、攻撃者が利用できるテクノロジも向上しています。

攻撃者は、強力な GPU (グラフィックス プロセッシング ユニット) の助けを借りて、Rainbow テーブルとして知られる何百万もの事前計算済みパスワード ハッシュをすばやく実行したり、ブルート フォース パスワードをすばやく実行したりできます。これは、さらに長いパスワードがクラックされる可能性があることを意味します。

攻撃者は、パスワードの共通ルートを標的とする辞書攻撃を使用するように進化してきましたが、パスワードの前後の数字と記号のより簡単なバリエーションを試みています。つまり、パスワードのブルート フォース攻撃では通常、文字、数字、記号のすべての繰り返しを試す必要はなく、辞書攻撃などのはるかに高速な手法に依存します。

最新のパスワード ポリシーの推奨事項

脅威アクターの能力が高まっているため、NIST およびその他の組織は、2020 年の更新版に記載されているように、現在のパスワード ポリシーの変更を推奨しています。 NIST 800-63b ガイドライン。パスワードの侵害とユーザーの行動から何年にもわたって学んだことを考慮して、次の一般的な推奨事項が作成されました。

  • ユーザーが要求しない限り、または侵害されたパスワードが見つかった場合を除き、通常のパスワード変更要件を廃止します。
  • パスワードの複雑さの要件を排除します。パスワード全体の長さに注意してください (たとえば、12 文字)。
  • カスタム単語リストや以前に侵害されたパスワードなど、一般的に使用される辞書用語に対する新しいパスワードのスクリーニングを義務付けます。

このセキュリティ アプローチを組織に実装することは、主に以前のパスワードの考え方が長年存在している場合に困難になる可能性があります。これらの変更により、ユーザーとシステム管理者の生活は楽になりますが、多くのセキュリティ プロフェッショナルの根深い態度を時間の経過とともに変えることは困難な場合があります。

Specops パスワード ポリシーによるユーザーの保護

Specops パスワード ポリシーは、組織が包括的なパスワード ポリシーのカスタマイズを自動化するのに役立ちます。 Specops パスワード ポリシーに組み込まれているコンプライアンス主導のテンプレートを使用すると、最新の NIST 標準に簡単に準拠できます。

カスタム辞書を使用して、組織固有の用語と他の一般的な用語をブロックすることでよくある間違いを回避し、「パスワードでユーザー名を許可しない」などの機能を使用して、ユーザーが強力なパスワード ポリシーを確実に遵守できるようにします。最小限のパスワード変更を要求し、パスワードの再利用を防止し、長さベースの有効期限を実装し、侵害されたパスワード保護アドオンを使用して 30 億を超える侵害されたパスワードの使用を回避する機能を備えています。

Specops: パスワード ポリシー アプリケーション
Specops: パスワード ポリシー アプリケーション

最新のパスワード ポリシーで組織を安全に保つ

パスワード ポリシーは、攻撃者の一歩先を行くために常に進化する必要があります。 Specops Password Policyなどのツールによってはるかに簡単になった最新のパスワード ポリシーを最新の状態に保つことで、組織とユーザーを保護していることを確認してください。

攻撃者のツールが進化するにつれて、サイバーセキュリティへのアプローチも進化するはずです。 NIST パスワード ポリシーの推奨事項に対する最新の更新により、よく考えられて実装されたパスワード ポリシーを使用して、ユーザーとシステム管理者の生活を楽にすることができます。

Specops Softwareによる後援および執筆