Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

世界パスワードの日

つぶやいてみた。

5月第1木曜日は世界パスワードの日は・・・本日でした。

www.mcafee.com

 

残念ながら定着しているとは言えない「世界パスワードの日」。私もすっかり忘れていました。日本ではGW中のこどもの日という事もあり、気づかれずに去っていく日となりそうです。

 

世界パスワードの日の起源については、どうやらIntel Securityが中心となって定められた様です。

nationaldaycalendar.com

WORLD PASSWORD DAY HISTORY
セキュリティ研究者のマーク・バーネットは、最初に人々に「パスワードの日」を設けるように勧めました。そこでは、2005年の著書「PerfectPasswords」で重要なパスワードを更新します。彼のアイデアに触発されて、IntelSecurityは2013年5月の5月の世界パスワードデーの第1木曜日を宣言するイニシアチブを取りました。 2016年にBigMonocleによって提出されたPasswordDayは、優れたパスワードセキュリティの必要性を認識させることを目的としています。 

 

まだ覚えている方も多いかと思いますが、アンチウィルスソフトで有名なMcAfeeインテルに買収されてIntel Securityとなっていましたが、2016年に新生McAfeeとして独立しました。

japan.zdnet.com

 

当然、言い出しっぺである「McAfee」のブログには世界パスワードの日(World Password Day)に関するコンテンツがあるのだろうなと見に行ったのですが、意外にも今年の記事が見つかりませ

※注:2020年のブログ記事は出てきます。

 

”パスワードレス”が徐々に市民権を得てきている中、「またパスワードの使い回し?」「脆弱なパスワード?」といった毎年代わり映えのあまりしない記事には話題性があまりないので、記事を書かなかったのか?とも思ったのですが、少し調べてみると、5/4に記事が出ていた様です。

 

Googleキャッシュが残っていました。毎年同じ様な事が書かれているとは言え、特に記事を消す必要性を感じないものでした。

 

<参考まで記事の概要>

パスフレーズの推奨

②2022年に平均的米国人は300のオンラインアカウントを持つ事を考えると、ユニークなパスフレーズを300個も覚えるのは現実的ではない

③パスワードマネージャーでパスワード管理する事を提案

④2要素認証を有効にする

⑤外出先ではVPNを使用する

⑥セキュリティと利便性のバランスを取り、シンプルで強力なパスワードを(パスワードマネージャー等を使って)共存させよう

 

さて、海外では他にどんな関連記事が出ていたのかを一部簡単に触れておきます。

www.techrepublic.com

TechRepublicでは、FIDO等のパスワードレスを推奨しており、パスワードレスによって利点がいくつもある事を挙げています。

・侵害のリスクを軽減する:パスワードは、悪意のある攻撃者が使用する最も簡単で一般的な攻撃方法の1つです。
・ドミノ効果を回避する:多くの顧客はパスワードを再利用するため、侵害された別の企業と顧客を共有しても、企業はそれほど公開されません。
・ストレージの懸念を排除する:パスワードがなければ、データベースが危険にさらされることはありません。
・個人情報の盗難を減らす:現在、アメリカ人の10人に1人が被害者になっています。
・顧客と従業員のエクスペリエンスを向上させる:ユーザーがパスワードを覚える必要がない場合は、より高速になります。

 

timesofindia.indiatimes.com

The TImes of Indiaはパスワードマネージャーを使った強力なパスワード管理を推奨しています。併せて(パスフレーズは説明されていませんが)パスワードは複雑なパスワードを生成し、推測しやすいパスワード、特に子供やペットの名前、辞書単語の使用をしない事を呼び掛けています。

 

www.gizmodo.com.au

ギズモードオーストラリアでは、パスワードセキュリティ向上の3つのヒントとして、

①長いパスワードの使用

②多要素認証の使用

③ブラウザにパスワードを保存しない

事を挙げ、パスフレーズやパスワード管理ソフトの使用を推奨しています。

※③に関しては賛否があると思いますが、最近の侵害事件でCookie認証情報が利用される様なケースも出ているので、そのリスクを避けるために挙げている様です。

 

specopssoft.com

最後はパスワード管理ソフトのSpecopsの記事です。”管理ソフト側”の視点で、パスワードの使い回し(再利用)についてGoogle調査データ(※65%の人がパスワードの使い回しをしているという結果)を引用して、パスワードレスを実現するまでの間は、パスワード管理ソフトを使ってリスクを軽減すべきだと提言していました。

 

 

参考まで、手前味噌ではありますが、2019年にキタきつねが書いたパスワード2.0(ホワイトペーパー)をのリンクを貼っておきます。長いフレーズで、かつ覚えやすいパスワード生成のヒントは、”学生時代に覚えた無駄知識にヒントがある”というのが持論です。

cpc.jpac-privacy.jp

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 パスワードを忘れた人のイラスト(スマホ)

 

更新履歴

  • 2022年5月5日 PM