Don’t use bad passwords, use a password manager.
Stephen Shankland/CNET
編集部注: World Password Dayに関連して、CNETはパスワードの改善と交換に関する記事の一部を再掲載しています。
もしあなたが、無意識に推測しやすいパスワードを使ったり、複数のアカウントでパスワードを再利用している無数の人々の1人だとしたら、サイバーセキュリティの専門家からあなたへのメッセージです。 それは、あなたのせいではありません。 アカウントごとにユニークで複雑なパスワードを記憶することは不可能です。
しかし、それはまさにコンピュータが得意とするところです。 そのため、多くのサイバーセキュリティ専門家は、パスワード・マネージャーを使用することを推奨しています。 これは、パスワードを安全に保存し、ログイン ページに自動的に入力するソフトウェア ユーティリティです。 強力なパスワードで、オンライン・アカウントの一つ一つを保護するのに役立ちます。
認証会社Auth0の最高技術責任者で、パスワードセキュリティの専門家であるMatias Woloski氏は、「私はすべての人に使うことをお勧めします」と述べています。 “パスワードマネージャーは今日、最良の代替手段です。”
あなたはおそらくパスワードマネージャの助けを借りていることでしょう。 サイバーセキュリティ企業SplashDataのデータによると、データ漏洩で見つかった最もよく使われたパスワードは今でも「123456」であり、2番目に多いパスワードはもちろん「password」である。 ウイルス対策ソフトウェア会社McAfeeの2018年の調査によると、平均的な人は13のユニークなパスワードしか使っておらず、ほぼ3分の1はすべてのアカウントで2つか3つのパスワードしか使っていないと回答しています。
より広い範囲を見るには、ハードウェアセキュリティキーなどのパスワードの問題と修正、いくつかの古いパスワードピッキングルールが時代遅れになった理由、パスワードマネージャでうまくいかないことに関する注意事項などに関する今週のCNETの報道をご覧ください。
パスワード マネージャにはいくつかの選択肢があります。 LastPass、BitWarden、Dashlane、Keeper、1Password などの専用ツールがあります。 また、Safari、Chrome、Firefox などの Web ブラウザにもパスワード制御機能が組み込まれており、特に複数のブラウザを使用する場合は、より制限されますが、より洗練されてきています。
残念なことに、パスワード マネージャーは複雑で、Web サイトやアプリとスムーズに連携できないことがあります。 ピュー研究所によると、インターネットユーザーのうち、パスワード・マネージャーを主に利用しているのはわずか3%というのは、そのためかもしれません。 Woloski氏は、より技術的な人の助けを借りて始めることを勧めています。
それでも、パスワード・マネージャーは、より少ないリスクでインターネットをナビゲートするのに役立つのです。 技術業界がようやくパスワードの本当の代替品や、パスワードを完全に捨てる方法を考え出したとはいえ、この先何年も、何十、何百ものパスワードを考慮しなければならないのです。 パスワード・マネージャーは、たとえ完璧ではないにしても、役に立ちます
パスワード・マネージャーとは何でしょうか?
パスワード マネージャーは、すべてのサイトに対してユニークで複雑なパスワードを生成し、安全に保存して、さまざまなブラウザやコンピューティング デバイスで入力します。 ブラウザーの拡張機能またはモバイル アプリとして使用することができ、ユーザー名とパスワードをログイン ページに入力することができます。
多くの利点があります。 まず、パスワードを記憶する必要がありません (パスワード マネージャーのパスワードは除く)。 つまり、パスワードを再利用しない、$ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X のように長くて複雑なパスワードを常に使用するなど、不快だが役に立つセキュリティに関するアドバイスに実際に従えるのだ。
次に、パスワードマネージャーは、不正なウェブサイトへ誘導し、パスワードを入力させようとするフィッシング攻撃から保護するのに役立ちます。 パスワードマネージャーは、正しい Web サイトにいるときだけ、ログイン認証情報を提供します。
最後に、多くのパスワード マネージャーは、サイトがデータ侵害を経験したときに教えてくれる機能を備えています。 また、少なくとも5億5500万件のパスワードのように、使用しているパスワードが盗まれたユーザーデータのストックパイルから見つかった場合にも教えてくれます。 これらは、すぐにパスワードを変更する必要がある兆候です。 また、パスワード・マネージャーは、弱いパスワードや再利用されているパスワードを見つけるのにも役立ちます。
すべてのパスワードを1つの場所に保存する必要がありますか?
何十年もの間、標準的なアドバイスはパスワードを記憶することでしたので、一か所に保存するのは少し間違っているように感じます。 また、もちろん、ハッカーがパスワード マネージャーに侵入して、すべてのアカウントにアクセスできたら、大変なことになります。
それでも、パスワード マネージャーのセキュリティは強固であることが証明されています。 例えば、ある侵入者は LastPass のユーザーセキュリティ質問のヒントを危うくするところまで行きましたが、実際のパスワードのキャッシュにアクセスする攻撃は知られていません。
確かに、ハッカーは最終的にそのセキュリティを破ることができますが、彼らはパスワードを盗むためにフィッシング攻撃であなたをターゲットにする可能性がはるかに高いと、Googleのアカウントセキュリティの責任者であるMark Risherは述べています。 さらに、パスワードマネージャーを使用することで、フィッシング攻撃に引っかかる可能性を低くすることができます。
動画です。 悪質なパスワードの世界では、セキュリティ キーが新しい親友になるかもしれません
もちろん、注意する必要があります。 すべてのパスワードの卵を一つのパスワードマネージャーバスケットに入れ、マスターパスワードまたはシークレットキーを覚えておく方法を見つけることを確認してください。 安全な場所に保管する限り、書き留めておいてもかまいません。 また、パスワードをスプレッドシートにエクスポートして、暗号化して保管することもできます(または、印刷したものを鍵のかかるファイルの引き出しに入れる)。
万一アカウントにアクセスできなくなった場合、他のすべてのアカウントのパスワード リセット プロセスを経なければならず、非常に大きな頭痛の種となるでしょう。
パスワード マネージャーの欠点
残念ながら、パスワード マネージャーを使用する際には、荒っぽいパッチがあることを予期しておく必要があります。 既存のすべてのアカウントからサービスに情報を追加するだけでも大変ですが、ほとんどのパスワード マネージャーは、ブラウザや他のパスワード マネージャーからデータをインポートするツールを提供しています。 そして、携帯電話でパスワードマネージャーを有効にするには、余分な手順が必要です。
おそらく最大の問題は、一部のウェブサイトがパスワードマネージャとうまく機能せず、コンピュータを窓から投げ捨てたくなるような、厄介な問題を引き起こすことです。
たとえば、パスワード マネージャーはログイン フィールドに気づかないことがあります。 また、Web サイトが PIN コードや好きな映画などの余分な情報を要求したときに、誤動作することがあります。
Web ページがパスワード マネージャとうまく連携しないことがあります。
Brett Pearce/CNET
さらに悪いことには、一部の Web サイトが自動入力機能をブロックして、ログイン認証情報を入力できないようにしていることです。 オーストラリアのある銀行、CommBankは、顧客に銀行口座の認証情報をパスワードマネージャに保存しないよう忠告しています。 CommBankは声明の中で、パスワードマネージャーの価値を認めているが、ハッカーはパスワードマネージャーを使えば、高度なフィッシングスキームで顧客を騙す方法を見つけるだろうと考えていると述べています。
「オンライン・バンキングのパスワードについては、各アカウントに固有の強力なパスワードを作成し、これを書き留めないよう顧客に勧めます」と、同社の広報担当者は述べています。 それでも、セキュリティの専門家は、これでは顧客が弱いパスワードや再利用されるパスワードを使用する可能性が非常に高くなると述べています。
1Password は、Web サイトでこの機能を使用できるようにしたい Web ブラウザ メーカーと協力して、自動入力のブロックに取り組んでいると、同社の最高業務責任者の Matt Davey 氏は述べています。
「彼らがやろうとしていることは、サイトレベルでそれらを上書きし、とにかく自動入力することです」と、Davey 氏はブラウザメーカーについて述べました。 1Passwordはまた、ウェブサイトに直接連絡し、プログラムに沿ってユーザーにパスワードマネージャでログインさせるよう伝える予定です。
技術的に熟練した人たちでさえ、パスワードマネージャの摩擦に苦労しています。 サイバーセキュリティの専門家であるKimber Dowsett氏は、以前はNASAのシステムのセキュリティに携わり、現在はソフトウェアインフラ企業Trussでセキュリティエンジニアリングのディレクターとして働いていますが、最近銀行のウェブサイトにログインしようとしたときにイライラしたそうです。 ウェブサイトがパスワード・マネージャーをブロックしていたため、彼女はログイン情報を手動で入力しなければならなかったのです。
最後の問題がありました。彼女は、文字パスワードが数字のゼロなのかアルファベットのOなのかがわからず、推測しなければならなかったのです。
「アプリ開発者が自動入力と貼り付けを可能にすることで、多くの摩擦が緩和され、意図したとおりにパスワード マネージャーを実際に使用できるようになります」と Dowsett 氏は語ります。 「と、Dowsett 氏は述べています。「それを妨げることは、私たちの助けにはなりません。
Using passwords less
2つの面で良いニュースがあります。 1つは、Chrome、Safari、Firefoxのメーカーが独自のパスワード・マネージャーを強化していることです。 Appleは、iOSに1つを組み込み、デフォルトで有効にしています。 それはあなたがパスワードや生体認証ログインで制御するデバイス上でこれらの機能を使用することはOKです. さらに、パスワードをデジタルで保存することがより主流になり、ウェブサイトの開発者に自動入力やペーストなどの機能をうまく使うよう強制する可能性もあります。
第二に、新しいテクノロジーにより、パスワードの使用を減らすことができます。 指紋や顔などの生体認証により、サービスにアクセスするたびにパスワードを提示する必要性が減ります。 シングルサインオンサービスを利用すれば、Google、Apple、Facebookなどの別のアカウントで、あるサイトにログインすることができます。 ただし、これらのハイテク企業との間で、利用するサービスに関するより多くの情報を共有することに抵抗がないことが条件となります。
第三に、多要素認証、セキュリティ キー、その他の認証技術が、パスワードのセキュリティの欠点を改善するのに役立っています。 いずれは、パスワードをまったく使わなくてもよくなるかもしれません。
この技術革新は、すぐにパスワードに取って代わるものではないと、BigID の CEO である Dimitri Sirota 氏は述べています。 しかし、アカウントを安全に保つためのパスワードの優位性を削ぎ落とし始めているのです。 そして、それは良いことだと彼は言った。
「パスワードは長い間、標準的なものでした」とシロタ氏は言います。 「そして、誰も特に喜んでいないものです。
初版は2020年3月10日午前5時(日本時間)に発行されました。