パスワードに関する7つの重要ルール--米政府セキュリティ専門家のアドバイス
自宅やオフィスをサイバー攻撃から守る方法について助言を求めているなら、最初に話を聞く相手は、米政府機関のためにセキュリティ対策を日々実践している人々が良い。 米国立標準技術研究所(NIST)の職員たちが、「Cybersecurity Basics」(サイバーセキュリティの基本)というシンプルなページを作成した。これは、4巻からなる「Digital Identity Guidelines」(デジタルIDガイドライン)の技術情報を、中小企業のオーナーやマネージャー向けに一連の簡潔なガイドラインとしてまとめたものだ。 (レポート全文を読んでみたいという場合は、付録Aの「Passwords」セクションでIT担当者やサービスプロバイダー向けの有益なアドバイスが見つかるだろう。このコンテンツは、定期的なパスワード変更の強制をやめるようIT部門を説得しようとしている場合に、特に役立つはずだ) もっとシンプルで実用的なガイドライン集を求めているなら、米サイバーセキュリティ・インフラセキュリティ庁(CISA)が運営するウェブサイト「Secure Our World」を参照してほしい。技術的な知識のない消費者を対象としており、一般的な脅威に対処するために友人や家族と共有できる確かな情報源となっている。 筆者はこれらすべてのドキュメントの最新バージョンに目を通して、パスワードに関して従うべき7つのルールをまとめた。 1. すべてのパスワードを十分な強度にする 強固なパスワードの条件とは何だろうか。 十分な長さであること。NISTの最新ガイドラインでは15文字以上とされている。最長のパスワードは64文字が妥当だろう。 ランダムであること。大文字と小文字、数字、記号を組み合わせて、辞書に載っておらず、自分の名前やパスワードを使用するサービスの名前が含まれていない文字列にする。 容易に推測できないこと。 これらの要素の中で、長さが最も重要というのが専門家の意見だ。実際に、NISTの専門家らは、侵害されたパスワードデータベースに関する最近の分析で、パスワードを長くすることの方が複雑にしようとするよりもはるかに重要であることがわかった、と述べている。 3つ以上の無関係な単語を記号や数字で区切ったパスフレーズも有効だ。 2. パスワードマネージャーを使用する 平均的な人は数十個のパスワードを持っている。アクティブなオンライン生活を送っている人なら、数百個の認証情報を持っているかもしれない。長くてランダムな一意のパスワードは、ほんの数個でも暗記できないし、そうする必要もない。すべてのデバイスにパスワードマネージャーをインストールして、長くて推測不可能な一意のパスワードを作成する作業と、暗号化された安全な保管庫に保存する作業を任せよう。 厳密に言えば、ペンと紙のノートでその作業の一部を実行することも可能だが、はるかに手間がかかる。だが、ソフトウェアベースのパスワードマネージャーには、さらに多くの機能がある。真にランダムなパスワードを瞬時に作成して、認証情報を暗号化されたデータベースに保存できるほか、すべてを複数のデバイス間で同期することもできる。 しかし、保護における最も重要な層は、すぐにはわからないものだ。パスワードマネージャーは、保存済みの認証情報に関連付けられたドメインを認識しているため、承認されていないドメインではパスワードを入力しない。そのため、高度なスキルを持つ攻撃者がフィッシングメールを作成し、銀行やブローカーからのメールだと思い込ませて、偽のドメインへのリンクをユーザーにクリックさせたとしても、パスワードマネージャーは認証情報の入力を拒否する。 このワンステップにより、ユーザーは立ち止まってメッセージをもっと注意深く確認するようになるだろう。これはフィッシング対策で何より重要なステップだ。 3. パスワードの使い回しは絶対にしない お気に入りの認証情報一式(ユーザー名とパスワード)を複数のサイトで使い回すのは、人間の自然な本能だ。確かに、その方が覚えやすくなるが、1つのサイトでデータ侵害が発生すると、攻撃者がその認証情報一式を入手し、侵害の影響を受けていない他のサイトでも入力を試みることになるだろう。 優れたパスワードマネージャーなら、使い回しされているパスワードにフラグを立てて、一意の強力なパスワードを別途作成するよう提案するはずだ。 注意:古いパスワードの末尾に感嘆符や数字を付け足すだけでは、新しいパスワードを作成することにはならない。よく使うパスワードの新しいバリエーションを作成するというのも同様だ。