What’s the Password for the House of Gryffindor?

今週は、少し間をおいて、中小企業庁がサイバー脅威からビジネスを守るためのガイドラインのステップ5、「外部と内部の脅威から守るために強力なパスワードを使い、頻繁にパスワードを変更する」について解説します。

パスワードは、ある種の政治家のようなものです。 複雑で勤勉に見えるかもしれませんが、実際には、同じ飽きたアイデアに新しい年を加え、最後に「！」をいくつも付けただけです。

#P@ssw0rd2019!!! 残念ながら、固有の欠陥と責任を持つパスワードは、ユーザーとそのデータ、そしてサイバー犯罪者の多いインターネットの間の唯一の薄い保護線になることが多いです。 これは公平ではなく、正しくありません。そして、あなたが実装している最新の「複雑なパスワードの要件」を伝えたときに、ユーザーから向けられる厳しい視線は、疑うことを知らない管理者に厳しい現実を突きつけることになるのです。

どんなに多くの数字を使わせても、どんなに多くの特殊文字を要求しても、どんなに頻繁に変更させても、安全なパスワードはそうでないことが多いのです。

CISO を泣かせる、おかしなパスワードの使い方

おそらくパスワード セキュリティの最も一般的な問題は、職場や生活がますますデジタル化しているため、自分の個人情報へのアクセスを維持するためだけに、ますます多くのパスワードを覚える必要があることが分かってきていることです。

クレジットカードの支払いや残高を確認する必要がありますか？ 複数のパスワードが必要です。
銀行口座をお持ちですか？ パスワードが必要です。
Pinterestから新しいアイデアが必要ですか？ PASSWORD.

実際、米国の平均的な消費者は、1つの電子メールアドレスに100以上の固有のアカウントを持っており、「オンラインの過負荷」の傾向は悪化しています。 もちろん、各アカウントは保護されなければなりません。つまり、各アカウントにはパスワードが必要で、そのパスワードは複雑であるべきです。 そして、そのパスワードは複雑なものでなければなりません。 母親の旧姓や好きだった小学校の先生について質問することになり、覚えることが増えるだけでなく、（逆に）サイバー犯罪者にうっかり漏らしてしまうことも増えます。 以下は、ユーザーが毎日行っていることのほんの一部です。

1. 同じパスワードを再利用することが増えています。
2. 同じパスワードを再利用しない場合、複雑なアルゴリズム（パスワード1、パスワード2、パスワード3など）を「騙す」ために簡単な増分を使用しています。
3. 私たちは新しいパスワードを考えるのが特に得意ではなく、得意でも忘れてしまいます。
4. 私たちはパスワードを紙に書き留め、モニターに付箋を貼ってさえいます。 結局のところ、サイバー犯罪者が 1 つのアカウントを侵害し、解読したパスワードを電子メール アドレスと一致させた場合、探しているものを見つけるまで、何十、何百ものオンライン アカウントでその組み合わせを試すのは非常に簡単なことなのです。 さらに悪いことに、彼らはこれらの認証情報を他の犯罪者に売ることができます。犯罪者は、私たちが誰で、どのように生活しているかというメタデータを調べ、より複雑なアイデンティティの喪失につながり、生命と生活を危険にさらすのです。
   

   では、ダンブルドアはどう関係しているのでしょうか。

   まず、セキュリティ要件がますます複雑になる世界では、従来のテキスト ベースのユーザー名とパスワードの組み合わせだけでは十分ではありません。 スマート カードや生体認証を使用した多要素認証などの新しいテクノロジが急速に普及し始め、プロセス全体をさらに退屈で困難にする、新しい、ますます楽しい方法が生み出されることでしょう。 私たちの生活の中には、オンラインでアクセスしたい部分があまりにも多くあり、そのデータは、誤りやすい人間の記憶や政治的なパスワード保護手法に任せるには、あまりにも機密性が高いのです。

   その一方で、私たちが主なセキュリティ システムとして、誤りを犯しやすい人間の記憶に縛られている間、知識は力です。 従業員やマネージャーと協力して、なぜ強力なパスワードが重要なのか、そしてなぜ今日でも、定期的にパスワードを変更する必要があるのか (迷惑であるとしても) を教えてあげてください。 また、不正なパスワードの使用がいかに危険であるかをユーザーに示すことも重要です。 このような現実でユーザーを怖がらせている間に、オンライン行動における優れたセキュリティ プラクティスについて教える機会を設けましょう。 インターネット詐欺師や犯罪者が、有名なFacebookの「クイズ」を使って、ソーシャルメディアサイトで個人データを密かに収集する方法を教えてあげましょう。

   彼らはあなたに、「あなたが一番好きなハリー・ポッターのキャラクターを知りたいですか」と尋ねてくるでしょう。 年齢、好きな色、最初のペットの名前、好きな食べ物を言うだけでいいのです。

   さて、彼らが欲しがっている情報について、何か気づきましたか？ 好きな色や初めて飼ったペットの名前が、組分け帽子があなたの所属するホグワーツ寮を特定するのに役立つと考えたことはありますか？

   その答えは。 しかし、この情報は、セキュリティ質問をハッキングして個人アカウントにアクセスしようとするサイバー犯罪者にとって、非常に有益です。

   強力なパスワードで窮地を脱することはできませんが、内部の脅威を防ぐのに役立ちます

   いつものように、ソリューションは多層的です。 強力なパスワードは役に立ち、スマートなオンライン行動は役に立ち、LanScope Cat のようなワールドクラスの小規模企業向けセキュリティ ソフトウェアによって強化された優れたセキュリティ プロセスと手順は *役に立ちます*。 1つのソリューションですべてを解決することはできませんが、優れたツールやトレーニングを受けた賢い人であれば、あなたの組織をより標的にしにくいものにすることができます。