5月4日は「World Password Day」(世界パスワードデー)だ。これはIntelが2013年に開催したイベントに端を発している。世界パスワードデーはパスワードやオンラインセキュリテイに関する意識を高める目的で開催されたイベントで、当初は毎年5月の第1木曜日にイベントが開催されていた。現在では5月4日に日付が定められている。

世界パスワードデーになると、多くのセキュリテイベンダーが強いパスワードを作る方法や強いパスワードの使い方に関するティップスを発表する。現在のオンラインセキュリテイはパスワードの強度に依存している面が強い。強いパスワードの作り方や使い方はそう頻繁にアップデートされるものではないが、1年に1回、おさらいを兼ねて確認するのはロジカルな取り組みだ。

そこで、本稿では複数のセキュリテイベンダーが2023年の世界パスワードデーに合わせて発表した強いパスワードに関するティップスを紹介する。

ユーザー向け: Check Point Software Technologies

  • パスワードは長く多様な文字を使ったものにする。少なくとも14~16文字は必要。大文字、小文字、記号、数字を組み合わせる。18文字まで増やすとブルートフォース攻撃に対して完全に解読不可能なキーの生成が可能になると考えられている
  • 記念日、誕生日、家族の名前などは使わない。自分だけが知っていて覚えやすく推測が難しいものにする
  • パスワードは使い回さない。それぞれにユニークなパスワードを使う
  • 他人と共有しない
  • 二要素認証(2FA: Two-Factor Authentication)を利用する
  • 定期的に変更する
  • Protecting your password: Create an unbreakable one - Check Point Blog

    Protecting your password: Create an unbreakable one - Check Point Blog

参考:「Protecting your password: Create an unbreakable one - Check Point Blog

ベンダー向け: ESET

  • 不必要に複雑なパスワード構成ルールを課さない。ユーザーは指示通りにパスワードを生成することなく問題を増やすだけ
  • パスフレーズに切り替える
  • 最低でも12文字にする。最大で64文字
  • ユニコードの絵文字を含むさまざまな文字を使えるようにする
  • パスワードは再利用しない
  • パスワードの使用期限を設定しない
  • 秘密の質問はサイバーセキュリティ攻撃者に悪用されるため使わない
  • 一般的なパスワードをブラックリストに登録する
  • パスワードマネージャとツールのサポートを提供する
  • 初期パスワードの保存期間を短く設定する
  • パスワードの変更についてユーザーに通知する
  • パスワードのリセットがサイバー攻撃者に悪用されないようにする
  • CAPTCHAやそのほかのアンチオートメーションコントロールを使用する
  • パスワードだけに頼らない

参考:「Creating strong, yet user‑friendly passwords: Tips for your business password policy | WeLiveSecurity

ここ数年、強いパスワードの利用をユーザーに強いるということ自体が問題であり、これは事態の解決にはつながらないという論調も増えている。Malwarebytesは今年の世界パスワードデーに合わせて「World Password Day must die」を公開し、世界パスワードデーでパスワードに意識を向ける日を毎年設けるという状況がすでに問題だと指摘している。

セキュリティベンダーや当局は長年にわたって、ユーザーに対し強いパスワードを使うこと、パスワードを使い回さないことを啓蒙してきた。しかし、その取り組みは成功していない。多くのユーザーは誰もが使う簡単なパスワードを多くのアカウントで使い回している。こうした状況を受け、近年は、強いパスワードを使うことをユーザや従業員に強いることは誤ったアプローチであるとし、組織やサービス提供側がパスワード以外のより安全な方法を提供するように変わっていく必要があるという主張が増えてきている。