自宅やオフィスをサイバー攻撃から守る方法についてアドバイスをお探しですか? 米国政府に代わって毎日この仕事を行っている人々から始めるのが良いでしょう。
デジタルセキュリティの詳細を本当に知りたい場合は、4巻の本を読んでください。 デジタルアイデンティティガイドライン これは米国国立標準技術研究所(NIST)のものです。これは非常に大きな文書で、その多くは極めて強力なセキュリティを必要とする連邦政府機関を対象としています。そこには、パスワードが実際にどの程度の長さと複雑さであるべきかという議論など、実用的で読みやすい情報も豊富に含まれています。詳細は、短い付録「 「記憶された秘密の強さ」
また: 2024 年の CrowdStrike と Windows の大混乱の原因は何だったのか? 歴史が答えを持っている
NISTの人々はシンプルな サイバーセキュリティの基礎 このページでは、すべての技術情報を、中小企業の経営者や管理者向けの明確なガイドラインにまとめています。
よりシンプルで実用的なガイドライン集については、 私たちの世界を守る サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) が運営する Web サイトです。技術的な知識のない消費者を対象としているため、一般的な脅威に対処するために友人や家族と共有できる信頼できる情報源となっています。
私はこれらすべての文書の最新版に目を通し、パスワードに関して従うべき 7 つのルールのリストをまとめました。
1. すべてのパスワードが十分に強力であることを確認する
パスワードを強力にするにはどうすればよいでしょうか?
- 長さは十分です。少なくとも 12 文字、理想的にはそれ以上です。
- これはランダムであり、辞書に載っていない大文字、小文字、数字、記号が混在しており、あなたの名前やロック解除されるサービスの名前の一部は含まれません。
- 推測するのは簡単ではありません。
これらすべての要素の中で、長さが最も重要であることに専門家は同意しています。実際、NIST の専門家は、侵害されたパスワード データベースの最近の分析により、パスワードを複雑にするよりも長いパスワードを使用することの方がはるかに重要であることが示されていると述べています。
また: NSAは、携帯電話を週に1回オフにしてオンにすることを推奨しています。その理由は次のとおりです。
記号と数字で区切られた 3 つ以上の無関係な単語で構成されたパスフレーズも効果的です。
2. パスワードマネージャーを使用する
平均的な人は数十のパスワードを持っています。非常にオンラインに詳しい人なら、数百の認証情報を持っているかもしれません。長くてランダムでユニークなパスワードを数個でも覚えられる人はいません。そのため、 パスワードマネージャーは、推測不可能な固有のパスワードを作成する作業を軽減し、それらを安全な暗号化されたストアに保存します。
また: 2024年のベストパスワードマネージャー:専門家がテスト
技術的には、ペンと紙のノートでもその仕事の一部はできますが、かなり手間がかかります。しかし、ソフトウェアベースのパスワード マネージャーは、はるかに多くのことを行います。真にランダムなパスワードを瞬時に作成し、認証情報を暗号化されたデータベースに保存し、複数のデバイス間ですべてを同期します。
しかし、最も重要な保護層は、すぐには分からないものです。パスワード マネージャーは、保存された認証情報セットに関連付けられているドメイン (または複数のドメイン) を認識しており、承認されていないドメインのパスワードは入力しません。そのため、熟練した攻撃者が、銀行やブローカーからのメールだと思わせるメールを作成し、偽のドメインに移動するリンクをクリックした場合、パスワード マネージャーは認証情報の入力を拒否します。
それは強力なフィッシング対策ツールです。
3. パスワードを再利用しない
複数のサイトで再利用するお気に入りの認証情報 (ユーザー名とパスワード) のセットを持つのは、人間の自然な本能です。確かに、そうすることで覚えやすくなりますが、1 つのサイトでデータ侵害が発生すると、攻撃者がその認証情報のセットにアクセスでき、侵害の影響を受けていない他のサイトでその認証情報を試すことにもなります。
また: Windows 10 のサポートが終了すると、5 つのオプションがありますが、検討する価値があるのは 2 つだけです。
優れたパスワード マネージャーは、再利用されたパスワードにフラグを立て、強力で一意の代替パスワードの作成を提案します。
注意: 古いパスワードの末尾に感嘆符や数字を追加するだけでは、新しいパスワードを作成したとみなされません。また、よく使用するパスワードの新しいバリエーションを作成しても、新しいパスワードを作成したとみなされません。
4. パスワードのヒントを避ける
パスワードのヒントの基本的な考え方は、自分にとって意味のある単語や名前、日付などで構成されることです。定義上、そのようなパスワードは推測しやすく、パスワードのヒントを追加すると、アカウントに侵入しようとする人にとっては、さらに簡単に推測できるようになります。
最適なパスワードのヒントは、「パスワード マネージャーを確認してください。」という 4 つの単語です。
5. デフォルトのパスワードを変更する
攻撃者が家庭や企業のネットワークに侵入する最も巧妙な方法の1つは、ネットワーク上のデバイスを経由し、その管理インターフェースの脆弱性を利用することです。たとえば、デフォルトのパスワードが「1」であることが多いWi-Fiルーターがこれに該当します。 パスワード家庭用セキュリティ システムの一部として設置する IP ベースのカメラやドアベルも侵入口となる可能性があります。
ネットワーク上にこれらのデバイスがある場合は、デフォルトのパスワードをより強力な資格情報に置き換えてください。
6. 可能な限り多要素認証を使用する
パスワードをどれだけ強力にし、どれだけ注意深くパスワードが侵害されないように保護しようとしても、何かは起こります。(表現通りではありませんが、ほぼ近いです。)
また: パスキーとは何ですか?パスワードレスの人生を変える魔法を体験してください
これまでのところ、最も効果的な保護策は、理想的には所有するデバイス上の認証アプリを使用して、2 番目の身分証明書を提示しない限り、新しいデバイスで誰もアカウントにサインインできないようにすることです。(SMS を使用して携帯電話にコードを送信することも許容できるオプションですが、攻撃者に乗っ取られるリスクが高くなります。)
そうする必要はありません 2FA すべてにおいてそうですが、電子メール、銀行、ブローカーなどの高価値アカウントについては、2 番目の要素を要求する必要があります。
7. 必要がない限りパスワードを変更しない
専門家は、パスワードを定期的に変更する必要はないと同意しており、組織がユーザーに理由もなくパスワードの変更を要求することは、実際にはネットワークを危険にさらしている。 少ない 安全な。
なぜでしょうか? 定期的にパスワードを変更しなければならない人は、推測されやすい弱いパスワードを選択する可能性が高いからです。強力で一意のパスワードをしっかりと選択していれば、通常の状況ではパスワードを変更する必要はありません。
また: スイスはすべての政府ソフトウェアをオープンソースにすることを義務付けている
そうするとき すべき パスワードを変更しましたか?
当然ですが、パスワードが許容できないほど弱い場合や、他の場所で使用しているパスワードと重複している場合は、パスワードを変更する必要があります。また、データ侵害の一環としてパスワードが侵害されたという兆候が最初に現れた場合は、パスワードを変更する必要があります。
そしてもちろん、IT 部門やオンライン サービスがパスワードの変更を強制するよう要求してきた場合は、その指示に従ってください。パスワード マネージャーに、要求を満たす最も長くて強力なパスワードを作成させましょう。