パスワードに関する7つの重要ルール--米政府セキュリティ専門家のアドバイス
4. パスワードのヒントを追加しない パスワードのヒントというのはそもそも、自分にとって意味のある単語、名前、日付からできている。当然ながら、そのようなパスワードは推測しやすく、パスワードのヒントを追加すれば、アカウントに侵入しようとする者の手助けをすることになる。 NISTの専門家のアドバイスは、次のように断固としたものだ。安全なオンラインサービスを管理する人は、知識に基づく認証のヒント(例:「最初のペットの名前は?」)やセキュリティの質問を絶対に使用すべきでない。 最高のパスワードのヒントとは、この一言だ。「パスワードマネージャーを確認しよう」 5. デフォルトのパスワードを変更する 攻撃者が家庭や企業のネットワークに侵入する最も巧妙な手口の1つは、管理インターフェースの脆弱(ぜいじゃく)性を利用してネットワーク上のデバイス経由で侵入する手口だ。このようなデバイスの例としてはWi-Fiルーターがあり、それらのデフォルトのパスワードは単に「password」であることが少なくない。ホームセキュリティシステムの一部として設置されたIPベースのカメラやドアベルが侵入口になることもある。 ネットワーク上にそれらのデバイスがある場合は、デフォルトのパスワードをより強力な認証情報に変更してほしい。 6. 多要素認証を可能な限り使用する パスワードをどれほど強固にしても、侵害からどれだけ慎重に保護しようとしても、予想外のことは起こるものだ(正確な言い回しではないが、十分に近い意味だ)。 群を抜いて最も効果が大きい保護対策は、2つ目のIDを提示しない限り、新しいデバイスで誰もアカウントにサインインできないようにすることだ。理想的には、自分が所有するデバイス上で認証アプリを使う(SMSでスマートフォンにコードを送信する方法は許容可能な選択肢だが、確固たる意思で目的を果たそうとする攻撃者には乗っ取られるリスクが大きい)。 2要素認証(2FA)をすべてのアカウントで使用する必要はないが、メール、メッセージ、ソーシャルメディア、銀行口座、ブローカーといった価値の高いサービスでは2つ目の認証要素を要求すべきだ。 7. 必要がない限りパスワードを変更しない 専門家たちは、パスワードの定期的な変更は必要ないという点で意見が一致している。むしろ、理由もなくユーザーにパスワードの変更を要求する組織は、実際にはネットワークの安全性を低下させている。 なぜかというと、パスワードの定期的な変更を強制された人は、推測しやすい脆弱なパスワードを選びがちになるからだ。一意の強固なパスワードをしっかりと選んでいれば、通常の状況では変更する必要はない。 では、どのような場合にパスワードを変更する必要があるのか。 もちろん、許容できないほど脆弱なパスワードや、他の場所で使用しているものと同じパスワードは変更する必要がある。また、データ侵害によるパスワード漏えいの可能性が見られた時点で、すぐに変更すべきだ。 とはいえ、IT部門やオンラインサービスからパスワードの変更を強く要求された場合は、そのとおりにしてほしい。その要求を満たす非常に長くて強固なパスワードをパスワードマネージャーに作成してもらえばいいだけだ。 この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。