多くの人はまだパスワードを単純にしすぎています。 Shutterstock / Vitalii Vodolazskyi
15年以上の間、パスワードの消滅について技術リーダーからさまざまな予測がありました。 ビルゲイツはそれを予測しました バック2004で とマイクロソフトは持っています 2021年にそれを予測しました。 保護の不十分な手段としてのパスワードに対する継続的な批判とともに、その間に多数の同様の宣言がありました。
それでも、パスワードはサイバーセキュリティの一般的な側面であり、人々が毎日使用するものです。 さらに、パスワードはまだ消える兆候をほとんど示していません。 しかし、多くの人が まだそれらをひどく使用します 推奨されるグッドプラクティスに気付いていないようです。
これはサイバーセキュリティの専門家にとって非常に一般的であり、 ユーザーを非難する企業 システムが不適切な選択を許可していることを認識せずに、パスワードの使用が不十分であるため。
多くのWebサイトでは、必要なパスワードを選択する方法について事前のガイダンスを提供していません。おそらく、これらのことをすでに知っているか、他の場所で見つけることができると想定しています。 しかし、人々が固執するという事実 弱いパスワードを使用する場合 これは楽観的な見方であることを示唆しています。
時代遅れのアドバイス
ガイダンスが不足していることに加えて、古いパスワード要件を実施しているWebサイトを見つけることはよくあります。 パスワードを強化するために大文字、数字、または特殊文字を要求することにより、パスワードの複雑さを主張するシステムにおそらく精通しているでしょう(これに対する応答は、多くの場合、以下のビデオを反映しています)。
しかしながら、 現在のガイダンス 複雑さを許容するがそれを必要としないこと、そして基本的にパスワード強度をパスワードの長さと同義であると見なすことです。
国立サイバーセキュリティセンター XNUMXつのランダムな単語を組み合わせて長いパスワードを作成することをお勧めします。これにより、多くの標準的な選択肢よりも長く、記憶に残るものが可能になります。
私のパスワードの試み
また、多くのサイトでは、最初にガイダンスや要件を提供するのではなく、許可されていないことを試みた場合にのみルールを公開しているので、役に立ちません。 そのようなサイトのXNUMXつにパスワードを作成してみました。 私の試みのほとんどは、私が最終的な選択を決定するまで、さらなる行動を必要とするフィードバックを受け取りました。そして、それは文句なしに受け入れられました。 しかし、受け入れられたパスワード、steve!は短く、かなり予測可能でした。
スティーブンファーネル, 著者提供
もう少し遊んだとき、他のさまざまな弱い選択が受け入れられました。 たとえば、1234a!、abcde1、qwert! Furnell1と同様に、すべてがルールを満たしていました。これは特に強力ではありません。特に、サインアップフォームの別の場所で姓としてFurnellを入力したためです。
一方、ルールでは、デバイスが自動生成するパスワードや、現在のガイダンスに従って自分で作成する可能性のあるパスワードを使用できないことを意味することがよくあります。
スティーブンファーネル
一部のサイトは、パスワードメーターなどの手法を使用して選択を評価することで、ガイダンスの欠如を補うことができると考えているようです。 ただし、これらはフィードバックを提供しますが、良いものがどのように見えるかについてのガイダンスを提供することに代わるものではありません。
別のサイトを使用して、不適切なパスワード(パスワードという単語)を入力しましたが、受け取ったフィードバックは、パスワードが非常に弱いというものだけでした。 ユーザーが本当にこのパスワードを試みとして提供していた場合、ユーザーに伝える必要があるのは、なぜそれが弱いのかということです。 より良い、より有益なフィードバックを提供しているサイトを間違いなく見つけることができますが、この例は残念ながら他の多くのサイトを代表しています。
従うべきルール
もちろん、効果的なガイダンスの欠如を強調したので、実際にいくつかを提供せずに終了することは怠慢です。 NCSCのガイダンス パスワードの選択と使用については、以下にリストされ、簡単に説明されています。
- メールには強力で個別のパスワードを使用してください。これは、他のアカウントにアクセスするためのルートであることが多いためです。
- XNUMXつのランダムな単語を使用して強力なパスワードを作成します。これにより、より強力で記憶に残るパスワードが得られます。
- パスワードをブラウザに保存します。これにより、パスワードを忘れたり紛失したりするのを防ぐことができます。
- 二要素認証をオンにします。これにより、パスワードが危険にさらされた場合でも、保護の要素が追加されます。
これを補足して、追加のリマインダーを追加しないと便利です。 同じパスワードを使用する 複数のアカウントにまたがって、XNUMXつの違反がすべての違反につながることを恐れて、他の人と共有しないでください。パスワードではなくなったため、発見可能な記録を保持しません。 パスワードマネージャーツールなどの保護された場所にそれらを保存することは問題ありません。
パスワードが何十年も前から存在していると考えるのは心配ですが、それでも間違っています。 そして、それらは私たちが適切に使用する必要があるサイバーセキュリティのほんの一面です。 これは、サイバーセキュリティの前兆にはなりません。
著者について
スティーブンファーネル、サイバーセキュリティ教授、 ノッティンガム大学
本_セキュリティ