ベストプラクティス 05-05-2021

Password Day、パスワードの無い未来に向けて

Dean Coclin

Password Dayは、長年にわたり、より良いパスワードの習慣を促進してきました。この日は、年に一度のパスワード変更のためのリマインダーとなっています。パスワードは、私たちの個人情報や組織情報の入り口となるものですが、十分な強度を持たない場合、データを危険にさらしてしまうことになります。脆弱なパスワードは、数十億ドルの損失につながる可能性があるのはもちろん、デジタルの信頼とオンライントランザクションの低下、影響を受ける組織の評判の低下を招く恐れがあります。

しかし近年、脅威が進化するのに伴い、パスワードはより長く、より複雑にならざるを得なくなっています。残念ながら、それらは覚えるのが難しく、ユーザーにとってストレスになります。複雑なパスワードは、最高のユーザー・エクスペリエンスを生み出すものでは無いにもかかわらず、簡単に危険にさらされ、コストもかかります。今年は、伝統的なパスワードの使用をやめるべきかもしれません。その理由は以下の通りです。

従来のパスワードには脆弱性がある

強力なパスワードポリシーを設定するだけでは、もはや十分ではありません。ほとんどのパスワードは、ハッキングに対抗できるほど強固ではありません。ユーザーが作成したパスワードの90%は、脆弱で危険にさらされやすいものです。さらに、ユーザーはパスワードを忘れることが多く、いまだにペンと紙でパスワードを書き留めている人もいます。これらのパスワードは、見つかったり、紛失したり、盗まれたり、耳に入ったり、あるいは推測されたりする可能性があり、それだけでは安全ではありません。

パスワードへの攻撃は、リモートワークによって増加する一方です。リモート環境でパスワードポリシーを適用することは、簡単ではありません。さらに従業員には、リモートで仕事用のソフトウェアやファイルにアクセスする際に、管理すべきパスワードが増える可能性があります。多数のパスワードを管理することは、ユーザーにとって負担であり、パスワードを覚えておくために、同じパスワードを繰り返し使用したり、同じパスワードの一部を使用したりしている可能性があります。しかし、1つのパスワードがハッキングされると、他のパスワードも簡単に推測されてしまうため、脆弱性が増してしまいます。なぜ私たちはまだこの時代遅れの方法に依存しているのでしょうか。

さらに、ITの意思決定者は、パンデミックの後も続くかもしれないリモートワーク環境をナビゲートする新しいテクノロジーの導入に注目しています。この移行期は、ビジネスの継続性を確保するために、パスワードレスの未来を検討する絶好の機会です。デジタルトランスフォーメーションの中で、従来のパスワードも変革する時が来ています。スマートカード、指紋認証、顔認証などの新しい技術により、パスワードからの移行が進んでいます。

従来のパスワードは負担が大きい

パスワードはユーザーにとってストレスになります。Visaの調査によると、消費者の86%が生体認証への切り替えに関心を持っており、70%が生体認証の方が簡単だと考え、46%がパスワードやPINよりも安全だと考えています。ユーザーは、パスワードをリセットしたり、脆弱なパスワードを変更したり、アカウントごとに新しい認証情報を作成したりと、面倒な作業を覚えておかなければなりません(リマインドも必要です)。.

さらにITチームは、より優先度の高いプロジェクトに集中できるはずの時間を、パスワード管理に費やしています(平均週6時間)。このように、パスワードがなくなることで、組織の生産性が向上し、ストレスが緩和されます。.

パスワードレスへの移行

パスワードレス・ログイン、つまり生体認証や物理的なトークンなど、パスワードを必要としないログインシステムは、従業員とエンドユーザーの両方にとって、ユーザー・エクスペリエンスの未来を担うものです。LastPass社の調査によると、同社のエンドユーザーに対してパスワードレス認証は、セキュリティリスクを低減し、従業員やITチームの負担を軽減し、組織を保護します。

しかし、移行には時間がかかり、完全なパスワードレスの未来はまだ数年先になりそうです。パスワードレスの未来に移行するために、組織はパスワードと生体認証を使用した多要素認証(MFA)を導入し、認証とセキュリティのレイヤーを増やす必要があります。さらに、このようなセキュリティレイヤーを追加することで、MFAはパスワードを効率的に保護できます。マイクロソフト社によると、MFAは自動化された攻撃を99.9%ブロックします。さらに、組織は強力なパスワードポリシーを施行し、パスワードマネージャーを使用することができます。

このPassword Dayに、組織は従業員に強力なパスワードポリシーの実践を教育し、パスワードのない未来に備える必要があります。

UP NEXT

特集記事

ユーザーの受信トレイに貴社のロゴを表示する:VMC GMAIL PILOTから学べるヒント

10-27-2021

デジサートのPKIオートメーション調査から見えてきた3つのこと

証明書のピンニングはやめましょう