ID 戦略としてパスワードの複雑さを超えて進化する

news

セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、Microsoft 製品マーケティング マネージャーのNatalia Godylaが、 Have I Been Pwnedの創設者であり、情報セキュリティの著者であり、Pluralsight のインストラクターでもあるTroy Huntと対談しています。このブログでは、 Troy が ID の未来について語り、ID を保護するための戦略を共有しています。

ナタリア: 来年注目すべき最も重要な脅威は何ですか?

Troy:ワンタイムパスワード フィッシングが増えています。これは U2F のようなものの価値提案ですが、フィッシング耐性のある認証メカニズムをどのように作成すればよいでしょうか?特に懸念されるもう 1 つのことは、SIM カードの乗っ取り率です。 SIM が非常に普及しているように思われ、ある場所から別の場所に SIM を移植するのがほとんど意図的に簡単になっていることは、私にとって大きな懸念事項です。業界として、「電話番号の身元保証のレベルはどこまで?」と言う必要があります。それは非常に弱いですか、それとも非常に強いですか? その場合、電気通信会社は、移植の容易さを変更するための法律を必要としますか?人々が同じ認識を持てない限り、私たちはこれらの問題を抱え続けるでしょう。

ナタリア: IT プロフェッショナルは何を優先すべきですか?

Troy: IT プロフェッショナルには、人間がシステムと対話する方法をよりよく理解してもらいたいと思っています。誰もが「 二要素認証の使用を強制するだけだ」と言います。それでも顧客が欲しいですか?すべての IT プロフェッショナルは、両親と一緒に 2 要素認証の登録を行う必要があると思います。誰もが、非技術者を採用して、これらのいくつかを彼らのために機能させることがどのようなものかを学ぶ必要があります。これらのことをただ空虚に見ることはできません。

U2F は素晴らしい技術的解決策だと思いますが、多くの理由から本質的に人間に欠陥のあるメカニズムです。両親に SMS ベースの 2 要素認証を使用させるのに苦労しています。両親に、「この小さな USB のようなものを手に入れたので、デバイスにログインする必要がある場合に備えて、常に携帯しておく必要がある」と伝えなければならないと想像してみてください。私たちには、多くの場面で私を含め、ほとんどの人にとって使いやすいという代償を払って、非常に多くの優れた技術的解決策があります.

これは、 パスワードレス認証などのソリューションにも関係しています。従来の意味でのパスワードが非常にうまく機能することを、もっと評価する必要があります。パスワードが他の何よりも優れている点は、誰もがパスワードの使い方を知っているということです。知識ベースの認証に生年月日を使用するようなものです。それはひどいですが、誰もがそれを使用する方法を知っており、それは本当に大きな違いをもたらします.

ナタリア: パスワード マネージャーの使用例は何ですか?

Troy:パスワード マネージャーはワンタイム パスコード (OTP) を保存する方法ですが、パスワード マネージャーはパスワードだけではないことを認識することが重要です。クレジット カードの詳細がそこにあり、店で支払いに行くたびに、コントロール バックスラッシュを実行し、クレジット カードの詳細を自動的に入力します。運転免許証やその他のデータなど、他にも秘密があります。多くの点で、パスワードはパスワード マネージャー ソリューションの一部にすぎません。

もう 1 つの使用例は、家族のアカウントです。私のパートナーが私たちの Netflix アカウントにログインしたい場合、彼女は自分の ID を持っていますが、認証情報は 1 セットしかありません。彼女は、「ヘイ、トロイ、Netflix アカウントのパスワードは何ですか?」と尋ねます。ぐちゃぐちゃの文字列です。どうすれば彼女にパスワードを教えられますか?暗号化されていない SMS のスレッドにあるので、彼女にメッセージを送りますか?ただし、ボールトを共有しているパスワード マネージャーがある場合は、それを共有ボールトにドロップするだけです。これは、パスワード マネージャーが自分の秘密を覚えようとするだけではないことを示すもう 1 つの良い例です。

ナタリア: 今後もパスワードを使用する可能性が高いので、パスワードを保護するためにどのような制御を導入する必要がありますか?

Troy:最終的には、このパスワードがあなたのアイデンティティの鍵となります。私たちは約 60 年間、コンピューター システムにパスワードを使用してきましたが、パスワードが生まれた時代は非常に単純でした。それは、インターネットやソーシャル メディアが登場する前、そして私たちがそれらを紛失したり開示したりする他のすべての方法が登場する前のことでした。時間が経つにつれて、「パスワードの複雑さに関するルールを設けましょう。より多くのエントロピー。エントロピーが大きいほど、より強くなります。」

旅行に行って聴衆と話すことができたときは、パスワードとパスワードの複雑さについて話していました。私はこう言います。「「パスワード」という単語をパスワードにしたいとします。Web サイトでは、少なくとも 1 文字の大文字を使用する必要があると書かれています。職業はなんですか?最初の文字を大文字にします。」客席のみんなが「わかった?」と緊張した様子で笑っています。私は彼らにこう言います。職業はなんですか?あなたは最後に1を置きます。そして、同じ神経質な笑いがあります。エントロピーの数学全体と完全に並行して機能し、より多くの文字タイプとより長いパスワードを持つこの人間的な側面があります。

作業が進むにつれて、任意のパスワード構成基準はあまり良いことではないことを認識し始めました。以前のデータ侵害コーパスのパスワードのように、禁止パスワードのリストを作成できるかどうかを検討しています。データ侵害ですでに出回っているパスワードを使用していませんか?真にパスワードレスになるため、これが不要になる時が来るかもしれません。それまでの間、悪いパスワードの原因をよりよく理解することが重要であり、何よりもまずこれについてユーザーを教育することが重要だと思います.

もっと詳しく知る

Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2021/04/22/evolving-beyond-password-complexity-as-an-identity-strategy/

Comments

タイトルとURLをコピーしました