Wi-Fiのパスワードを安全に共有することは、ネット
ForgeRock Consumer Identity Breach Report によると、2021年のユーザー名とパスワードを含む情報漏洩件数は、前年よりも 35%増加して 20億件を超えました。脆弱なパスワードを利用すれば、サイバー攻撃者は簡単にあなたのネットワークにアクセスできます。
パスワード監査とは?
パスワード監査では、辞書攻撃や総当たり攻撃といったパスワードのクラッキング方法に対する企業のネットワークの耐性を、ハッキングソフトでテストします。パスワード監査は、組織のパスワードの安全性を測ることを目的としています。監査では、ツールを使ってパスワードの長さや辞書に登録されている一般的な用語を変数にしてパスワードの安全性をテストします。
企業のネットワークで脆弱なパスワードが使われているということは、ネットワークが高い不正アクセスのリスクにさらされていることを意味します。
パスワードを監査する理由とは?
パスワードを監査すれば、組織のセキュリティは向上し、パスワードの解読によるデータ侵害を防ぐことができます。ここでは、パスワードを監査するメリットの一部を紹介します。
● 脆弱なパスワードを特定して排除する — パスワード監査は、最も脆弱なパスワードをあなたに知らせて、パスワードを変更するなどの対策を直ちに取るよう要求します。
● 職場での良好なパスワード衛生を改善する — 従業員は強力なパスワードと脆弱なパスワードの違いを理解していない可能性があります。最もリスクの高いパスワードを特定すれば、組織は脆弱なパスワードと強力なパスワードの違いを理解できるようになります。脆弱な認証情報を見直すことは、脆弱なパスワードの作成を防止するポリシーを制定し、職場内のパスワード衛生を改善することにつながります。
● チームが使うパスワードの脆弱性を理解するのに役立つ — Keeperの2021年 Workplace Password Malpractice Report では、回答者の37%が仕事で使うパスワードに雇用主の名前を使ったことがあると答えています。従業員が使うパスワードのパターンを理解することは、パスワード衛生の改善行動の提案につながります。
パスワード監査の方法
組織は多くの場合、パスワード監査を専用のサイバーセキュリティツールを使う第三者パスワード監査会社に委託しています。
これらのパスワード監査ツールは、総当たり攻撃などのクラッキング方法を使って、あなたのネットワークで使用されているパスワードを推測します。パスワードのセキュリティ監査の後、クラッキングされたパスワードや脆弱なパスワードはチームメンバーに通知されるので、必要に応じてパスワードを更新できます。
セキュリティ監査用のアプリを使えば、サードパーティに委託せずに自社だけでセキュリティ監査を行うことも可能です。例えば Keeprのパスワードマネージャーは、ユーザーのパスワードの強度に点数をつけるセキュリティ監査機能を提供しています。
パスワード監査でよく見つかる 4 つの問題
パスワードの安全性を標準以上にするには、以下に示すパスワードの 4 つの問題に対処する必要があります。
1. 脆弱なパスワード
脆弱なパスワードは、総当たり攻撃や辞書攻撃によって簡単にクラッキングされてしまいます。最低限のセキュリティ基準を満たしただけの脆弱なパスワードは、専用のツールを使えば簡単に見分けられます。
Keeperの 2021年Workplace Password Malpractice Report では、多くの回答者がパスワードに自分の個人情報を含めていると答えています。実際、この報告書の調査では以下のような結果が出ました。
● 回答者の37%が仕事で使うパスワードに雇用主の名前を使ったことがある。
● 34%がパートナーの名前や誕生日を使ったことがある。
● 31%が子供の名前や誕生日を使ったことがある。
パスワードに個人情報を含めることは絶対に避けるべき悪い習慣です。
2. 漏洩したパスワード
漏洩したパスワード(Pwned パスワード)とは、ネット上に流出したパスワードを指します。サイバー攻撃者は、これらの漏洩したパスワードを使ってアカウントへの不正アクセスを試みます。Risk Based Security の 2021 年 Data Breach QuickView レポートによると、2021年には 220億件のデータ流出が発生し、そのうち4,145件の漏洩データがネット上で公開されました。自分のパスワードが漏洩したかどうか知りたいですか?Keeperの無料ダークウェブスキャンを使えば、あなたのデータがネットで漏洩しているかどうかを確認できます。
データ侵害によって、ユーザーのアカウントやパスワードがダークウェブに流出する可能性もあります。ダークウェブ監視ツールを使えば、あなたの会社の認証情報がダークウェブで取引されているかどうかを確認できます。
3. パスワードの使い回し
パスワードの使い回しとは、複数のプラットフォームで同じパスワードを使用することを意味します。Keepr の2021年 Workplace Password Malpractice Report では、回答者の44%が個人や仕事で使うアカウントのパスワードを使い回したことがあると答えています。
パスワードの使い回しは複数のアカウントの漏洩につながるため、絶対に避けるべき悪い習慣です。パスワードを使い回している人のアカウントがデータ侵害に遭遇すると、同じパスワードを使っている他のアカウントにも危険が及びます。
4. 有効期限切れのパスワード
プラットフォームの中には、長期間同じパスワードを使い続けるとパスワードの変更を促すものがあります。すべてのプラットフォームがパスワードの変更を促してくるわけではありませんが、定期的にログイン情報を更新することはセキュリティ上のメリットがあります。なぜなら、過去に自分のアカウントが流出したことに気づいていない人もいるからです。
よくある質問
企業がパスワード監査を始める最もよくある理由とは?
企業がパスワード監査を始める最もよくある理由は、パスワードをテストして、アクセス権限のない人が簡単にクラッキングできてしまうような脆弱なパスワードを見つけ出すことにあります。
パスワードはどのくらいの頻度で変更すべきなのか?
セキュリティの専門家たちが、パスワードを 3 ヶ月ごとに更新するように推奨していた時もありました。ただし、最新の NISTガイドラインは、パスワードを頻繁に変更する必要はないとしています。
パスワードが頻繁に変更されるとユーザーが脆弱なパスワードを選択する機会が増えるため、サイバー攻撃者の推測攻撃が成功する確率も増えることになります。強力なパスワードを選択して多要素認証を有効にすることが、アカウントへの不正アクセスを防ぐ最善の方法です。
まとめ:パスワード監査ツールとしてKeeperのパスワードマネージャーを導入する
Keeperのパスワードマネージャーは、あなたの会社で使われている認証情報を保護するためのソリューションを提供します。パスワードマネージャーは、暗号化されたボルトで認証情報を保護したり、セキュリティ監査機能でパスワードの強度を測ったりすることができます。14日間のビジネス版パスワードマネージャーの無料トライアルに登録して、パスワードの保護を開始しましょう。