Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

世界のパスワードの日

 5月7日は世界パスワードデーだったのだそうです。

securityboulevard.com

 

パスワード認証の欠陥のほとんどは、人間の要素に起因しますユーザーがソーシャルメディア、デバイスへのログイン、オンラインバンキング、ショッピング、ヘルスケア、その他のWebサイトに同じパスワードを使用していて、そのうちの1つが侵害された場合、すべてのアカウントが危険にさらされます。資格情報の詰め込みを使用したサイバー攻撃は、アカウントの資格情報を盗み、複数のユーザーアカウントにアクセスします。ユーザーパスワード、ソフトウェアの脆弱性、セキュリティの欠陥、エクスプロイトがマルチコンポーネント攻撃として組み合わされると事実上すべての組織に侵入できます

(中略)

  • 回答者の64%は、従業員のアクセスが原因で違反が発生した可能性が高いと考えており、58%はベンダーアクセスが原因の可能性がある違反を挙げています。
  • 回答者の62%は、以下の不十分なセキュリティ慣行に基づいて、従業員による機密データの意図しない誤用について心配しています。
    • パスワードの書き留め(60%
    • 個人のメールアカウントへのファイルの送信(60%
    • 同僚にパスワードを教える(58%
    • 安全でないWiFi経由でのログイン(57%
    • ログオンしたままにする(56%

(SecurityBoulevard記事より引用)※機械翻訳

 

キタきつねの所感

パスワードの問題は聞き飽きたという方も多いかと思います。

 

とは言え、2006年にはビルゲイツ氏が「パスワードはもう役立たない」RSAコンフェランスで講演していた事を考えると、結構長く生き延びている(所説ありますが1970年代に米MITで使われたのがパスワード利用の最初と言われています)、優秀なセキュリティ対策である事が分かります。

www.itmedia.co.jp

 

生体認証(FIDO)等への移行は進んではいますが、未だに私たちはパスワードに頼っているのは間違いありません。NISTはパスフレーズを推奨しており、おそらく今年末以降にリリースされるPCI DSSバージョン4.0もこの推奨を基準の中に取り入れていく事になるかと思います。

 

しかし、NISTの推奨(16文字以上)の長いパスフレーズ(パスワード)であっても、過去に別な所で漏えいしたパスワード、よく使われる辞書単語等をベースにしたものであっては、パスワードの脆弱性は消えません。

過去の漏えいパスワード(辞書)、例えば「have i been pwned」で公開されている漏えいパスワード辞書を使って、漏えいしているパスワードが使われてないか、特に新規登録のパスフレーズ(出来れば定期的に登録データを)をチェックしないと、パスワード起因の攻撃が強まりこそあれ、弱まる事はないかと思います。

 

多要素認証(FIDO等の生体認証)と共に、パスワードを強化する(参考:パスワード2.0)事も重要なのではないでしょうか。

 

FIDO参考:

fidoalliance.org

 

再掲:

cpc.jpac-privacy.jp

 

余談です。アベノマスク配布や、一律給付金等でマイナンバーカードがもっと普及していれば・・という声があります。

申請からカード入手まで少し時間がかかっていた事がニュースになっていたからか、まだ普及率は(当初想定より)低い様ですが、NFCスマホでも利用が出来る様になりましたので、外出が制限されている中では非常に有効な公的カードかと思いますので、コロナ後にはもう少し普及するのかなと思います。

 

一方で・・・認証手段がパスワード(暗証番号)なのですが、滅多に使わないカードであるからか、忘れてしまう方が多い様です。私も一度使った際に、初期登録したコードが分からなかったのですが、申請書類にメモで書いていました。オンラインハッキングには「紙に書いておく」物理的な手法も意外と強いので、よく使うパスワードと、あまり使わないパスワードで管理法を分けておくのも手なのかと思います。

www.umk.co.jp

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

パスワードを忘れた人のイラスト(スマホ) 

 

更新履歴

  • 2020年5月10日 AM(予約投稿)