5 月 4 日、強力なパスワードと共にあれ
2023 年 5 月 4 日 Carla Roncato 著
今年の「世界パスワードの日」は、5 月 4 日でした。スター・ウォーズファンならば、「May the 4th Be With You!(「フォース」と「4th」をかけている)」の「スター・ウォーズの日」としてこの日付を記憶されている方もいるでしょう。2023 年のスター・ウォーズの日には、レイア姫を演じたキャリー・フィッシャーがハリウッド・ウォーク・オブ・フェームにおいて没後にありながら 2754 番目の星型プレートを刻み、世界中のファン(筆者含め)が歓喜しました。そのような晴々しいイベントがあった中、この 2 つの記念日が 2023 年同日であったことは、サイバーセキュリティの専門家として注意を払うべき、よりダークサイドな側面も照らしています。では、スター・ウォーズとパスワードの共通点は何でしょうか? R2-D2 がいなくても、ChatGPT に聞けば、何十万人もの人々が、スター・ウォーズのキャラクター名をパスワードの中に使用していると教えてくれます(例:Yoda、Chewbacca、Han Solo、Darth Vader、Boba Fett、Ewok、など)。
ベライゾンのデータ漏洩調査報告書などによる調査では、毎年侵害を引き起こす上位要因の 1 つとして常に人的要因が位置づけられており、今年の最新調査結果だけでも、侵害の 82% に人的要因が関与しています。認証情報の盗難、フィッシング、誤用、あるいは単なるミスなど、ユーザ(とそのパスワード)はインシデントや侵害において大きな要因であり続けています。
しかし、パスワード以外の方法に頼りたいとどれほど思っても、パスワードは当分の間、過去の遺物となることはないでしょう。Microsoft、Apple、Google などの企業がパスワードレス認証ソリューションのサポートを発表しても、アプリケーションやサービス、システムが新しいプロトコルを採用して順応するにはさらに長い年月がかかると思われます。
このため、この「世界パスワードの日」に、私たちは一歩立ち止まって、適切なパスワード衛生を取り入れ、時代遅れのパスワード管理方法を廃止し、最新の認証技術を活用して、アカウントや ID 情報をオンライン上で安全に保つ方法について考える必要があります。
パスワードに関するセキュリティのヒント:
- まず、安易で再利用されがちなパスワードの使用をやめるべきです。強力なパスワード(少なくとも 16 文字のランダムな文字)または長いパスフレーズが望ましく、また、ログインごとにユニークであるべきです。
- 2 つ目のアドバイスは、パスワードマネージャの使用です。パスワードマネージャを使えば、複雑なパスワードの自動生成や安全な保管が、非常に簡単になります。覚えておかなければならないパスワードは、マスターパスワード 1 つだけです。
- 3 つ目はおそらく最も重要で、可能な限り多要素認証(MFA)を使用することです。現在、MFA は攻撃者の動きを遅らせる最良の方法です。生体指紋や顔スキャンなどの「ユーザ自身」、ハードウェアキーや携帯電話などの「所持品」、パスワードなどの「知識」といった複数の認証要素を組み合わせることで、たとえ攻撃者がメールフィッシングなどの手法でパスワードにアクセスしたとしても、アカウントを乗っ取るには別の手法が必要になります。どのような認証システムも、攻撃者が持つツールやテクニックに完全に耐えられるわけではありません。しかし、MFA は、推測可能な単一のパスワードや漏洩したパスワードに対する重要な抑止力となります。
願わくは、いつか私たちの銀河系で、そう遠くない未来に、人類が世界パスワードの日という日が一体何の記念日であったのか不思議がるほどになりますよう。しかしそれまでは、2023 年、フォース(4th)と共にあれ。