Sucuriは10月10日(米国時間)、「Password Security & Password Managers」において、パスワードセキュリティの重要性とパスワードマネージャーによるパスワード管理について伝えた。パスワードマネージャープロバイダー「NordPass」によると、例年に続き、昨年最も利用されたパスワードは「password」とのことで、セキュリティの基本であるパスワードが保護されていない現状に警鐘を鳴らしている(参考:「Top 200 Most Common Password List 2022 | NordPass」)。
-
Password Security & Password Managers
米国国立標準技術研究所(NIST: National Institute of Standards and Technology)はパスワードなどのデジタルアイデンティティに関するガイドラインとして、「NIST Special Publication 800-63B」を公開している。パスワードやPINなどの記憶する認証については、「5.1.1 Memorized Secrets」などで解説されている。
Sucuriは強力なパスワードの条件を次のとおり提示している。
- 長さ - 長ければ長いほどよい。長さは解読の難しさに直結する
- 独自性 - 誰でも推測できるような文字列や、既知の個人情報は使用しない。「password」、「123456」やペットの名前などは危険。また、辞書やWeb上で発見できる単語なども「辞書攻撃」に脆弱なため使用しない
- 複雑さ - 大文字小文字のアルファベットに数字や記号を混ぜる
- 多様化 - パスワードを再利用しない。複数のWebサイトやアプリケーションで同じパスワードを使用すると、アカウントの1つが侵害された場合にほかのアカウントも侵害される可能性がある
上記の条件を満たすパスワードは強力で安全であるが、同時に記憶することが困難となる。パスワードを忘れて本人が認証をパスできないのでは元も子もない。しかしながら、パスワードをテキストファイルに保存したり、付箋紙にメモしてキーボードに貼り付けたりするのはリスクが高い。この問題を解決するためにパスワードマネージャーが利用される。
Sucuriはパスワードマネージャーにはそれぞれ利点と欠点があるため、どのパスワードマネージャが適切かを判断するには調査が必要だとしている。LastPassのような人気のクラウドベースのパスワードマネージャーは非常に使いやすいが、過去にデータ侵害の被害を起こしている。また、パスワードマネージャを利用する場合はコンピュータ自体のセキュリティも重要となる。コンピュータがスパイウェアに感染したら、どのパスワードマネージャを使用してもパスワードを保護することはできない。
強力なパスワードは安全であるが、セキュリティを完全に保証するものではない。システムが侵害された場合にパスワードが流出する可能性があり、既に何億ものパスワードが流出している。流出した可能性のあるパスワードと類似するパスワードの利用は推奨されない。また、流出したパスワードはその特徴を解析されて辞書攻撃に悪用されるため、次のようなパターンのパスワードも推奨されない。
- キーボード配列などのパターンベースのパスワード
- 先頭に大文字、末尾に数字と記号
- 一般的な置換(aを@にするなど)
- ユーザまたはWebサイトに関連付けられた単語
近年、パスワードによる認証はセキュリティを保証するために不十分な認証方式となりつつあり、多要素認証(MFA: Multi-Factor Authentication)などで補強することでセキュリティを保証する方向にある。また、コンピュータの処理速度と記憶容量の増加に伴いパスワードもより強力なものが求められており、定期的にパスワードを強化、更新する必要があるとされる。
Sucuriはパスワードの侵害リスクは今後も存在するが、パスワードがすぐに廃止されるわけではないとして、できる限りのパスワード保護を各自心がけるように推奨している。
なお最近は、パスワードを必要としないパスキーと呼ばれる新しい認証方式の採用が進められている。Googleは今後パスキーへの移行を進めてパスワードを廃止する予定としている。利用しているオンラインサービスがパスキーをサポートしている場合はパスキーの利用も検討したいところだ。
