Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2020年のパスワード強化策

つぶやいてみた。

2020年に向けた記事を色々と見ているのですが、パスワード強化もテーマに上がっている所がいくつもありました。(きちんと強化すれば安上がりである事は間違いありませんが)その1つを取り上げてみます。

www.cisomag.com

 

優れたパスワード衛生を実践することは、オンライン侵入者を阻止するための最も重要なセキュリティ対策の1つです。ほとんどの人は、セキュリティではなく、覚えやすい方法に基づいてパスワードを選択します。データ侵害に対する懸念が高まっているため、組織は従業員に必要なパスワード保護対策を講じて、サイバーセキュリティの事故を回避するよう奨励する必要があります。

データセキュリティを強化する6つの必須パスワードセキュリティ対策をリストします。

(CISOMAG記事より引用)※機械翻訳

 

◆キタきつねの所感

推奨が6つ挙がっていましたので、、順に見ていきます。

1. 2要素認証の使用

2要素認証(2FA)は、ユーザーがアカウントにログインする前に追加の手順が必要な追加のセキュリティレイヤーとして機能します。2FAでは、ユーザーはテキストメッセージまたは電子メールでOTP(ワンタイムパスワード)を受け取ります。これは、適切なユーザーのみがアクセスできるようにするために、検証に必要です。

ただし、ほとんどのWebサイトでは、ユーザーは初めて検証するときにデバイスを信頼済みとしてマークできます。これにより、信頼できるデバイスの2FAが上書きされ、ユーザーはそこからパスワードのみでアカウントにアクセスできますこれは使用中は便利に思えるかもしれませんが、セキュリティの観点からは良くありません。信頼できるデバイスの2FAをオーバーライドしている場合、ハッカーに対してアカウントを公開しています。

(CISOMAG記事より引用)※機械翻訳

 

多要素認証については、日本でも(脆弱性が狙われ始めている)SMS-OTP(携帯でのワンタイムパスワード送信)以外の実装がもっと普及して然るべきかと思います。インターネット接続があるところではFIDO2も選択の1つかと思いますが、サービス提供側は、ユーザが安易に設定した、あるいはすでに別なサイトで使っているパスワードを設定したか分からない以上、パスワードリスト攻撃に脆弱である事について、サービス事業者、ユーザの両方が認識をもっと持つべきです。

 

2.パスワードの代わりにパスフレーズを使用する

NCSCによると、世界中で最もよくハッキングされるパスワードは「12345」、「123456」、「123456789」、「abc123」、「qwerty」、「1111111」、さらには「パスワード」という言葉です。サイバー犯罪者は高度なハッキングツールを使用して最も複雑なパスワードも解読します。攻撃者がパスワードを推測できないように、創造的で推測しにくいパスワードを使用してください。

パスワードにパスフレーズを使用すると、アカウントのセキュリティを最大限に高めることができます。ただし、選択するパスフレーズも覚えやすく複雑なものにしてください。あなたの好きな歌や引用から一行を選んでください。しかし、できればあなたを知っている誰かが簡単に推測できる一般的なものではありません。

たとえば、「I Love My Job 100%」などのパスフレーズは覚えやすく、複雑さの要件(数字、大文字小文字、特殊文字)を満たし、パスワード解読ツールのほとんどが故障するため、解読しにくい10文字で。

(CISOMAG記事より引用)※機械翻訳

 

昨年JPAC様からリリースさせていただいた「パスワード2.0」も、基本的にはNISTが推奨しているパスフレーズをベースにしています。上記の例示で挙がっている「I Love My Job 100%」を英語ではなく、日本語で考える事によって(欲を言えばさらに一工夫するともっと良いかと思いますが・・・)攻撃者がパスワードリスト攻撃をしてきても、耐えられる様に、個々人がパスワードをもう少し考えるべきなのではないでしょうか?(自分であまりパスワード強化を考えたくない方は、少しお金を払って有償で実績があるパスワード管理ソフトを使って、ソフトにランダムなパスワードを覚えてもらうのが良いかと思います)

 

3.適切なWebセキュリティの観察

ハッカーが高度なツールを使用してデータを盗む場合、適切なWebセキュリティ対策に従うことが不可欠です。ハッカーが個人情報の盗難に使用する最も一般的な方法は、フィッシングメールまたは悪意のあるリンクを送信することです。すべてのデバイスに適切なウイルス対策およびマルウェア対策ソフトウェアをインストールして、防御システムを構築します。また、完全に保護するために、これらのソフトウェアアプリケーションを定期的に更新するようにしてください。

(CISOMAG記事より引用)※機械翻訳

 

学生さんや主婦の方であれば、怪しい方は居るかもしれませんが、会社勤めの方であれば、アンチウィルスソフトは使われているのが当たり前かと思います。しかしそれでも、ウィルスは侵入してくるのが問題なのです。人の脆弱性でもあるフィッシングメール」にひっかからない。この事が非常に大事です。怪しげな屋台で偽物の時計や偽物のバックを買わされそうになるのを、多くの方は警戒心を持って断れるかと思います。フィッシングもこうした警戒心を大事にすれば、気づける可能性は高くなると(個人の意見ですが)思います。

 

4.パスワードの再利用を避ける

マイクロソフトの脅威調査チームによる最近の調査では、4,400万人のユーザーがユーザー名とパスワードを再利用していることが明らかになりました。調査では、パスワードの大部分が脆弱で長期間使用されていることも明らかにしました。

さまざまなアカウントに共通のパスワードを使用すると便利に思えるかもしれませんが、攻撃者が1つのアカウントに侵入した場合、他のアカウントにとっては潜在的な脅威になる可能性があります。強力なパスワードを持っている場合でも、使用するアカウントごとに異なるパスワードを使用するようにしてください。また、パスワードは定期的に変更してください。

パスワードとしてあなたの個人情報(あなたの名前、あなたの配偶者または子供の名前、ペット)を選択しないでください。これらはあなたを知っている人に知られています。使用するアカウントごとに異なる組み合わせのフレーズを使用するようにしてください。

(CISOMAG記事より引用)※機械翻訳

 

パスワードの使いまわし問題は10年以上前から言われ続けている気がします。おそらく今年も。ここ数年特に危なさが増しているのが、SNS等での個人の情報発信です。プロフィールに生年月日を上げている方、特に若い女性の方は・・・iCloudなどのプライベート写真や動画が、そうした情報を元にパスワードが破られて流出してしまうリスクもありますので、特に気を付けられた方が良いかと思います。(パスワードに生年月日、電話番号、車のナンバー、ペットの名前・・等々のプライベート情報の一部を使うのはお勧めできません)

 

5.パスワードリストを保護する

複数のアカウントとパスワードを使用すると、人々はそれらを1か所に保持してリストを作成する傾向があります。ただし、パスワードリストを安全に保存して、他の人が許可できないようにしてください。パスワードを含む物理的な記録はすべて非表示にする方が良いでしょう。重要なファイルを取得するために同僚に資格情報を提供する必要がある場合は、できるだけ早くパスワードを変更してください。

(CISOMAG記事より引用)※機械翻訳

 

私はパスワード管理ソフトを使うのが一番、パスワード管理法としては「一番楽」だと思いますが、有償サービスだったりするので二の足を踏んでいる方も多いかも知れません。無料の管理法では、ExcelやWord等を使う管理も、私は悪くないと思います。ただし・・・「読み取りパスワード」は必須です。

※最近のオフィスの読み取りパスワードはAES暗号保護になっていますので、1つの強力なパスワードをセットしておけば、これをハッカーが破る事は難しいかと思います。

 

6.ビジネス用メールアカウントと個人用アカウントを混在させないでください

Microsoftによると、再利用または変更されたパスワードの30%は、わずか10回の推測で解読できます。これにより、ユーザーは侵害リプレイ攻撃のリスクにさらされます。攻撃者が漏えいした資格情報を手に入れた場合、異なるサービスアカウントで同じ資格情報を試すことにより、侵害再生攻撃を実行しようとすることができます。

ビジネスと個人の通信に単一のメールアカウントを使用することはお勧めしません。そうすると、誰かがパスワードを解読したときに大量のデータが失われる可能性があります。複数のメールアカウントを使用すると、すべての仕事用メールを1つの仕事用アカウント、友人、家族のコミュニケーションの個人アカウント、およびさまざまなWebサイト登録用のレクリエーションアカウントに統合できます。

(CISOMAG記事より引用)※機械翻訳

 

パスワードの使いまわしは、個人アカウントだけでなく、会社アカウントとの間でもやってはいけないという事は(その実現がどうであるかは別にして)何となく皆さんでも意識しているかと思いますが、個人アカウントに迷惑メールなどが飛ぶのを嫌がって、個人の立場での会員サービス登録にも会社アカウントを使っている方は結構多いかと思います。ID多くの場合メールアドレス・・・ここも問題なのですがとパスワードは、両方が揃わないと不正アクセスは成立しない事になりますが、会社の(生きている)メールアドレスをそこら中にバラまくと、片方(会社メールアドレス)を固定にして、パスワードリスト攻撃がされてしまう・・・そんなリスクについて書かれています。

 

個人用の登録には、GoogleやYahoo等、フリーのアドレスを使うことができるかと思います。Have I Been Pwnedなどでメールアカウントの侵害があったら、これらのフリーアドレスを変更するのも容易ですので、うまく活用してリスクを下げる、パスワードだけでなくIDも保護することを考える事が良いのではないでしょうか

 

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

 

 

パスワードを忘れた人のイラスト

 

 

更新履歴

  • 2020年1月2日PM(予約投稿)