パスワード設定や管理にはさまざまな落とし穴がある。デフォルトパスワードの継続使用、「記憶頼り」の設定などだ。悪習を克服し、安全なパスワードを実現するためにはどうすればいいのか。
パスワードセキュリティの強化は企業にとって喫緊の課題だ。攻撃者が認証情報を狙い、システムへ侵入しようとする動きが活発なことが背景にある。企業はどのような手を打てばいいのか。中編「『めんどくさい』は通じない やはり『多要素認証』が欠かせない理由とは」は多要素認証(MFA)ツールや脅威検出ソフトウェアの導入に焦点を当てた。後編となる本稿はパスワード管理の方法を取り上げる。
新しいソフトウェアを導入する場合、アカウントにあらかじめパスワードが設定されていることがある。セキュリティの観点から、初期設定のパスワードをそのまま使い続けるのはお勧めできない。初期設定のパスワードは攻撃に悪用されやすいため、初回のログイン以降、必ず変更すべきだ。
調査会社Ponemon Instituteのレポート「The 2020 State of Password and Authentication Security Behaviors Report」によると、企業の約6割でパスワード管理が「記憶頼り」になっている。従業員が覚えやすいパスワードを選びがちなのは不思議ではない。だがセキュリティの観点からは、より複雑で強固なパスワードが欠かせない。企業はパスワード管理ツールを導入し、複雑なパスワードを管理しやすくすることが重要だ。パスワード管理ツールはパスワードの生成や自動入力といった機能を備え、セキュリティと利便性の両立を追求している。
パスワードの共有はどうしてもリスクが拡大する。間違えてパスワードを悪意のある人に伝え、システムへの不正アクセスにつながる恐れがあるからだ。他にも暗号化されていないメールでパスワードを共有すれば、攻撃者の手に渡る可能性がある。企業はリスク低減のため、パスワード共有を避けるべきだ。ただし共有が必要なときもある。その場合は、企業向けのパスワード管理ツールを使い、安全な方法で共有すべきだ。アクセス権のある従業員が退職する際、共有パスワードを変更することも忘れないでおこう。
「パスワードの管理はセキュリティの優先事項ではない」と考える企業もあるだろう。だが認証情報を盗み出し、システムに侵入しようとする攻撃者の動きは活発だ。パスワードの管理はシステム保護のために極めて重要なことであり、全ての従業員が取り組む必要がある。
パスワードの要らない認証がもっと一般的になり、パスワードが過去のものになる日がいつか来る可能性がある。ただし今は、まだパスワード認証が広く使用されている。企業はパスワードセキュリティのガイドラインを踏まえ、防御策の強化に取り組むことが不可欠だ。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
スマホ時間の奪い合い「利用者増えても、利用時間は減少」 唯一の勝者は?
データマーケティング支援のGlossomは、「スマートフォンでのメディアとコマースの利用に...
生成AI時代のコンテンツ制作の課題 アドビが考える解決法は?
求められる顧客体験はますます高度になる一方で、マーケターのリソースは逼迫している。...
「イカゲーム」とコラボ ジョニーウォーカーが黒ラベルを“緑”に もしかして、これって……?
世界的な大ヒットとなったNetflixオリジナルドラマ「イカゲーム」のシーズン2公開が近づ...