07-15-2014

強力なパスワード作成ポリシーのベストプラクティス

私たちの個人的な通信、金融取引、医療情報がオンラインで保存されることが増えているため、ユーザーがこれらの情報にアクセスできることには、深刻なセキュリティリスクが伴います。強力なパスワードポリシーは、ユーザーの機密情報を守るための最前線です。

今日、管理者は、ユーザーが直面しているセキュリティリスクを認識し、詐欺師やハッカーからの防御の最前線として、強力なパスワードを使用する必要があることを教育し、確実に伝えるという、これまで以上に重要な役割を担っています。

テクノロジーは、パスワードを複雑にするのではなく、容易にするものであるべきです。

ワンタイムパスワード、クライアント証明書、スマートカード、生体認証などの技術は、アカウントのセキュリティに階層を追加することができます。二要素認証は、複数のセキュリティの階層を組み合わせることで、システム全体のセキュリティを高めます。重要なシステムであればあるほど、より多くの認証の階層を設ける必要があります。

しかし、パスワードは依然としてユーザー認証の主要な手段です。またシステムにはいくつもの階層がありますが、いずれもユーザー名とパスワードの組み合わせに依存しています。パスワードポリシーを作成するとき、管理者は、3つの重要な要素に注目する必要があります。

1. 強力なパスワードポリシーとは何かを理解する

パスワードポリシーとは、ユーザーが信頼できる安全なパスワードを作成し、それを適切に保管・利用することで、コンピュータのセキュリティを向上させるために作成された一連のルールです。通常、パスワードポリシーは、組織の公式規則の一部であり、セキュリティ意識向上のためのトレーニングの一部として採用されることもあります。

ほとんどのユーザーは、単純なパスワードでは、セキュリティリスクがあることを理解していますが、ユーザーが慣れない基準を満たすパスワードを作成しようとしたり、以前に作成した強力なパスワードを思い出そうとすることに時間を費やさなければならない場合、フラストレーションが残ります。

2. 強力なパスワードの使用を徹底する

パスワードは、パソコンへの不正なアクセスを防ぐための最初の手段です。パスワードの強度が高ければ高いほど、悪意のあるソフトウェアやハッカーからコンピュータを保護するレベルが高くなります。

強力なパスワードは、単なるパスワードではなく、コンピュータを介してアクセスするアカウントごとに、強力なパスワードを保証することが重要です。企業ネットワークの場合、ネットワーク管理者から強力なパスワードを使うように促されることがあります。

強いパスワードを作るためには、その基準を知っておく必要があります。この基準は基本的に以下のようなものです。

  • 強力なパスワードは、少なくとも8文字以上でなければなりません。
  • また、個人情報、具体的には、本名、ユーザー名、会社名などを含んではいけません。
  • これまで使用していたパスワードとは全く異なるものでなければなりません。
  • 完全に綴られた単語を含んではいけません。
  • 強力なパスワードには、大文字、小文字、数字、文字など、さまざまな種類の文字を含める必要があります。

3. 強力なパスワードを管理するようにユーザーを教育する

"eC<My!chO,quaj^of)naD}uM}rIew>Ap[Ek}E*quaC.eib(Tyb”」のようなパスワードは、非常に安全です。強力なパスワードとしてのほとんどすべての要素が含まれています。しかし、このようなパスワードを覚えていられる人がどれだけいるでしょうか。このような強力なパスワードは、ユーザーのモニターに貼られた紙や、キーボードの下、机の引き出しの上などに書き込まれている可能性があります。机の上のアイテムの中にも隠れているかもしれません。

代わりに、好きなスポーツや趣味など、自分が覚えやすいものをパスワードにすることもできます。例えば、「I enjoy playing basketball」は、「IEnjoiPlay!ngB@$k3tb@ll11」とすることができます。これは安全であり、ユーザーが簡単に覚えられる可能性があります。

LastPassやApple Keychainなどのパスワード管理ソフトウェアは、強力なパスワードを管理する手間を省きます。ジュース1本分以下の価格で、強力なパスワードを簡単に作成・管理することができます。数多くの組み合わせがあったとしても、メインとなる強力なパスワードを1つ覚えておくだけで、あとはパスワードマネージャーに任せることができます。

4. 強力なパスワード作成ポリシーのベストプラクティス

ガイドラインに沿っていても、パスワードは弱い場合があります。強力なパスワードを覚えられず、メモしてしまったり、常にパスワードをリセットしなければならないユーザーは、強力なパスワードポリシーの利点を損なうことになります。

パスワードは、企業におけるセキュリティ・パズルの1つのピースです。ユーザーアカウントを安全に保つには、強力なパスワードを作成するための徹底したプロセスと、ユーザーがそのパスワードを安全に保つための使いやすいシステムを組み合わせる必要があります。

UP NEXT
Blog | DigiCert

PKIはIoTを安全に保つ鍵となるのか?

特集記事

デジサート2021年 情報セキュリティ予測

blog-card-images
09-20-2019

IDCの新しい調査で、エンタープライズセキュリティへのPKI 利用の増加傾向が明らかに

米国科学アカデミーによるレポート:量子コンピューティングに関するDigiCertの見解