カジノサイト
パスワードの深刻な問題
過去数年間の多くの混乱と社会的変化の中でも、人類の核となる特徴の 1 つは変わっていません。それは、人々は強力なパスワードを作成するのが苦手であるということです。
警告や推奨にもかかわらず、私たちは今でも、自分たちが育った通り、高校のマスコットへの言及、お気に入りの映画のフレーズ、またはログインするたびに同じ単語の末尾に異なる一連の数字を付けたものを使用しています。この問題は蔓延している問題であり、ID 管理および不正検出会社 SpyCloud がフォーチュン 1000 企業に影響を与えている侵害の危険性の分析で発見しました。
「複数の侵害で暴露されたデータベース内のフォーチュン 1000 の電子メール アドレスのパスワード再利用率は 64% であることが判明しました。」SpyCloud によると「これは、当社のデータベース全体で見られるパスワードの再利用率 60% よりも 4 ポイント高いですが、フォーチュン 1000 の従業員ではパスワードの再利用率が高いことが年々見られる傾向であるため、さらに懸念されます。」
研究者らは、この傾向は「過去の暴露さえも重要であり、習慣が変わらない限り、犯罪者は何年もの間、従業員やその企業に対して暴露を利用することになる」ことを意味するため、憂慮すべきであると書いている。
もう 1 つの課題は、侵害記録 (パスワードや電話番号などの資産を含む、侵害された個々のユーザーに関連付けられたデータ セット) 内の漏洩して再利用された資格情報からランサムウェア攻撃が発生するため、パスワードの再利用が CISO にとってさらに大きな争点になっていることです。 SpyCloud の調査によると、フォーチュン 1000 社の従業員に関連する侵害記録は前年比 18% 増加しました。
64%
フォーチュン 1000 の電子メール アドレスにおけるパスワードの再利用率。
「フォーチュン 1000 企業の従業員に直接関係する侵害資産の量は、前年比 26% 増加して 6 億 8,723 万件となった」と報告書は説明しています。 「侵害資産の前年比増加率が最も高い 5 つのセクターは、電気通信、メディア、産業、テクノロジー、およびビジネス サービスです。」
従業員がパスワードを再利用していない場合でも、新しいパスワードは、特に重要なインフラストラクチャのデータ侵害から調査されたデータセットでは、信じられないほど単純または明白である場合があります。 4 つの重要なインフラ分野 (航空宇宙と防衛、化学、エネルギー、産業) では、最も人気のあるパスワードの上位 3 ~ 5 位に企業名が含まれていました。
「非常に多くの場合、特定の企業で最も人気のある 10 個のパスワードのうち半分にもその企業名が含まれていることが確認されています。」と SpyCloud は述べています。
資格情報を含むこれらの資産が公開されると、脅威アクターはそれらを使用して組織に侵入します。 で調査された、エラーや悪用以外のすべての侵害のうち、ほぼ 50% が発生しました。2022 年 Verizon データ侵害調査報告書 (DBIR)、 脅威アクターは正当な資格情報を使用して組織への不正アクセスを取得しました。
一部の専門家は、この問題を解決するために、パスワード マネージャー (複雑なパスワードを作成して従業員用に保存する) の使用を強調し続けていますが、他の開発では、ほとんどのユーザーのパスワードを完全に無効にすることで、この問題を完全に無効にする可能性があります。
その取り組みは、Apple、Google、Microsoft が参加した 2022 年の第 2 四半期に勢いを増しましたパスワードなしのサインインの可用性を加速するために、Fast Identity Online (FIDO) 標準のサポートを拡大します。
FIDO 標準は、認証とデバイス構成証明の標準の開発、使用、および準拠を促進することで、パスワードへの依存を減らすことに重点を置いているオープンな業界団体である FIDO Alliance によって開発されました。この提携は、最終的にはパスワードの使用を排除する、オープンでスケーラブルで相互運用可能なユーザー認証メカニズムの技術仕様の作成に取り組んできました。
これまでのところ、この作業の結果、FIDO Universal Second Factor (FIDO U2F)、FIDO Universal Authentication Framework、および FIDO2 が開発されました。この取り組みは現在、世界最大手のテクノロジー企業によって受け入れられており、ユーザーがそれを活用できるようにし、奨励しています。
「拡張された標準ベースの機能により、Web サイトやアプリはエンドツーエンドのパスワードレス オプションを提供できるようになります」と FIDO Alliance がプレス リリースで発表しました。 「ユーザーは、指紋や顔、デバイスの PIN などの簡単な認証など、デバイスのロックを解除するために毎日何度も行うのと同じアクションを通じてサインインします。この新しいアプローチはフィッシングから保護し、パスワードや、SMS で送信されるワンタイム パスコードなどの従来の多要素テクノロジーと比較して、サインインの安全性が大幅に向上します。」
Apple、Google、Microsoft の取り組みにより、ユーザーはパスワードなしのサインインに 2 つの新しい機能を使用できるようになります。 1 つ目は、ユーザーがアカウントを再登録しなくても、デバイス上の FIDO サインイン資格情報に自動的にアクセスできるようにするものです。 2 つ目では、ユーザーは、使用しているオペレーティング システム プラットフォームやブラウザに関係なく、モバイル デバイスで FIDO 認証を有効にして、近くのデバイスのアプリケーションや Web サイトにサインインできるようになります。
FIDO アライアンスのエグゼクティブ ディレクターであるアンドリュー シキアー氏は、サンフランシスコで開催された 2022 RSA カンファレンスのインタビューで、認証に使用される秘密キーをデバイス クラウド全体で同期できる新しいプロセスを FIDO が導入したため、これが機能すると述べました。
「秘密キーはデバイス上にはもうありません。プラットフォーム ベンダーのデバイス クラウドで安全に同期されているため、そのプラットフォームに新しいデバイスを登録するときに、生体認証を表示するだけで済みます。」と Shikiar 氏は説明します。
この認証ワークフローに移行するということは、FIDO の拡張性が向上し、プラットフォーム ベンダーが FIDO を実装すると、ユーザーはパスワードを覚える必要がなく、簡単にアカウントにログインできるようになるため、より使いやすくなる可能性があることを意味します。
「使いやすさは使用量の増加につながり、最大の利益をもたらす可能性があります」と Shikiar 氏は付け加えます。 「セキュリティは、侵害や盗難といった最終的なコストの防止のようなものです。ユーザビリティが向上すると、ログイン率が向上し、より多くのコマースやスループット、これらすべてが得られるため、ユーザビリティは非常に重要です。」
また、パスワードを排除するソリューションを導入すれば、消費者に製品を販売する組織の責任も軽減される可能性があります。
「パスワードはデータ侵害につながります。パスワードはアカウント乗っ取りにつながります。また、詐欺につながります」と Shikiar 氏は言います。 「つまり、これは、その責任をそれらの組織、サーバーや肩からすべて取り除き、プラットフォーム プロバイダーに負わせることになります。」
知的財産へのアクセスや企業の財務管理など、組織やユーザーが FIDO の独自のセキュリティ キー認証方法を使用したい状況は今後も続くでしょう。
パスワードはデータ侵害につながります。それらはアカウントの乗っ取りにつながります。詐欺につながります。
「最終的には、セキュリティの観点から、FIDO セキュリティ キーは常に FIDO 認証のゴールド スタンダードであり続けます。その理由は、資格情報が常にそのキー上に存在し、クラウドに同期されず、より詳細に制御できるようになるということです」と Shikiar 氏は言います。
今年初めに FIDO の実装を約束した後、Apple は 2022 年 6 月の世界開発者会議で、新しい FIDO 標準の実装をパスキーの形式で展開すると発表しました。 iOS 16 では、新しいアカウントにログインするときにパスワードを作成する代わりに、Touch ID または Face ID を使用して自分自身を認証するオプション (パスキー) がユーザーに提供されます。ユーザーは、Apple の iCloud キーチェーンを使用して、デバイス間でパスキーを同期することもできます。
「パスキーは、Web サイトやアプリに、より便利で安全なパスワードなしのサインイン エクスペリエンスを提供するように設計されたパスワードの代替品です」と Apple は a。 「パスキーは、パスワードとは異なり、フィッシングに耐性があり、常に強力で、秘密が共有されないように設計された標準ベースのテクノロジーです。アプリや Web サイトのアカウント登録が簡素化され、使いやすく、すべての Apple デバイスで機能し、物理的に近くにある Apple 以外のデバイスでも機能します。」
Apple は 2022 年 9 月または 10 月に iOS 16 をリリースする予定です。Microsoft と Android が FIDO を実装する方法の詳細はこれまで共有されていませんでしたセキュリティ管理者プレスタイムですが、シキアル氏は、ほとんどの人がテクノロジーを使用して経験している認証エクスペリエンスをどのように変えていくのかを楽しみにしていると述べています。
「パスワードには在職中の利点があります。パスワードは Web 自体の構造の一部であり、誰でもパスワードを設定できるという意味で使いやすさを管理できます」と Shikiar 氏は言います。 「それを根絶するには、新しいシステムが同じくらい簡単で、同じくらい普及する必要があります。」
パスワードレスの方法論が展開される一方で、組織がパスワードのアプローチを改善するために実行できる手順があると、SpyCloud レポートの作成者は述べています。
「露出を最小限に抑えてデータを保護するために、企業は可能な限りシングル サインオンによる強力な企業パスワード ポリシーを適用し、ビジネスおよび個人のデバイスの使用に関する明確な企業ポリシーを作成し、重要なアカウントに多要素認証を強制し、パスワード マネージャーの使用を義務付けるだけでなく、ユーザーの露出について継続的で実用的なインテリジェンスを活用する必要があります。特に膨大な量の消費者機密データを預けている業界では。」