閉じる
メニュー

専門家によると、パスワードへの依存をやめる時期が来たという

重要なポイント

  • サイバーセキュリティの専門家は、パスワード自体は、アカウントを保護するのにもはや適切であると見なされるべきではないと示唆しています。
  • ユーザーは、可能な限り多要素認証(MFA)を有効にする必要があります。
  • ただし、MFAを弱いパスワードを作成するための言い訳として使用しないでください。
スマートフォンで2要素認証を使用してラップトップコンピューターにログインしている人。

オスカーウォン/ゲッティイメージズ

最強のパスワードと最も厳格なパスワードポリシーは、サーバーの設定ミスが原因でオンラインサービスプロバイダーが資格情報を漏えいした場合にはあまり役に立ちません。

そのような不測の事態がまれであると思われる場合は、 2021年の最大のデータ漏洩 サービスプロバイダーによる技術的な落とし穴が原因でした。 実際、2021年12月、サイバーセキュリティの専門家はアマゾンウェブサービスのS3バケットにそのような設定ミスを埋めるのを手伝いました セガが所有、パスワードを含むあらゆる種類の機密情報が含まれていました。

「パスワードの使用は廃止され、アカウントにログインするためのさまざまな方法を探す必要があります」と、セキュリティベンダーのGuruculのCEOは述べています。 サリュー・ネイヤー、電子メールでLifewireに伝えました。

パスワードの問題

12月中、 太陽が報告した 英国の国家犯罪対策庁(NCA)が5億を超えるパスワードを人気のある人々に提供したこと 私はPwnedされましたか (HIBP)調査中に発見されたサービス。

HIBPを使用すると、ユーザーは自分のパスワードが侵害されてハッカーに悪用されやすいかどうかを確認できます。 HIBPの創設者によると、 トロイハント、NCAが提供する2億を超えるパスワード データベースにまだ存在していませんでした.

「ブラウザのアカウントクレデンシャル保存機能は非常に便利ですが... 使用を控えることをお勧めします。」

「それは問題の大きさを示しており、問題はパスワードであり、自分の正真正銘を証明する古風な方法です。 パスワードを削除し、代替手段を見つけるために行動を起こすよう呼びかけられたことがあれば、これはそれであるに違いありません。」 バベルアミン、デジタルIDエキスパートのCOOであるベリジウムは、NCAのHIPBへの最近の貢献に応えて、電子メールでLifewireに語りました。

アミンは、ハッカーがAIベースの分析ツールでそれらを使用して、個人がパスワードを作成する方法のパターンを特定するため、漏洩した資格情報が既存のアカウントを危険にさらすだけではないと付け加えました。 本質的に、漏洩したクレデンシャルは、他の侵害されていないアカウントのセキュリティも危険にさらします。

パスワードなど

Nayyarは、パスワードよりも優れた保護メカニズムを提唱しており、アカウントに多要素認証を設定するオプションがあるユーザーはそうする必要があることを示唆しています。

ロン・ブラッドリー、サードパーティのリスク保証のベストプラクティスの開発を支援するメンバーシップ組織である共有評価担当副社長も同意します。 「可能な限り多要素認証をオンにします。特に、お金を動かすアプリをオンにします。」

パスワードだけでアカウントを保護することは、単一要素認証と呼ばれます。 多要素認証またはMFAはその上に構築され、ユーザーに別の情報を要求することでサインインプロセスに追加のステップを追加することにより、アカウントを保護します。 複数の銀行を含む多くのサービスは、銀行に登録されているユーザーの携帯電話番号に確認コードを送信することでMFAを実装しています。

二要素認証を使用したラップトップとスマートフォンの図。

マークコルパコフ/ゲッティイメージズ

ただし、この検証メカニズムは、 SIMスワップ攻撃、攻撃者が所有者の携帯電話会社をだまして攻撃者のSIMカードに番号を再割り当てさせることにより、標的の携帯電話番号を制御します。

T-Mobileは、一部の顧客を標的としたこのような攻撃を認めながら、SIMスワップ攻撃は 一般的で業界全体の出来事.

代わりに、MFAを有効にするためのより良いオプションは、Duo Security、Google Authenticator、Authy、Microsoft Authenticator、およびその他の専用MFAアプリなどのアプリを使用することです。

パスワードの無秩序な増加

ただし、私たちが話したすべてのサイバーセキュリティの専門家は、MFAを使用することは、パスワードを保護するための適切な措置を講じないことの言い訳にはならないことを警告しました。

「銀行のパスワードが長すぎて複雑すぎるため、銀行のパスワードが何であるかわからないワンパーセンターの一員になりましょう」とブラッドリー氏はアドバイスしました。

彼は、パスワードに関しては、ユーザーはパスワードマネージャーへの投資を検討する必要があると付け加えています。 無料のパスワードマネージャーが不足することはなく、Webブラウザーにも組み込まれているものがありますが、専門家は 無料のパスワードマネージャーは、まったく持っていないよりはましだと提案しますが、ユーザーは使用するときに注意を払う必要があります 1。

「銀行のパスワードが長すぎて複雑すぎるため、銀行のパスワードが何であるかわからないワンパーセンターの一員になりましょう。」

その間 最近の違反の調査 ある会社の内部ネットワークの中で、AhnLabのサイバーセキュリティ研究者は、会社のネットワークに侵入するために使用されたVPNアカウントが、リモートで働く従業員のPCから漏洩していることを発見しました。

このPCは、パスワードを抽出するために特別に設計されたものを含む、さまざまなマルウェアに感染していました。 GoogleChromeやMicrosoftなどのChromiumベースのWebブラウザに組み込まれているパスワードマネージャから 角。

「ブラウザのアカウントクレデンシャル保存機能は非常に便利ですが、 マルウェア感染時のアカウントクレデンシャル。ユーザーはそれを使用しないことをお勧めします」とAhnLabに警告します。 研究者。