レベル3:パターンを活用したパスワード
これは複数のプラットフォームで使える戦略で、個々のパスワードは同じものの、使い回しでない程度にわずかに変化を加えてある。たとえば、複数のソーシャルメディアのアカウントを持っている人の場合、すべてのアカウントで何らかの色(と特定の数字と特殊文字)を使ったパスワードを使う。インスタグラムは「urRED!@7am&8pm」、フェイスブックは「urWHITE!@7am&8pm」、リンクトインは「urBLUE!@7am&8pm」にするといった具合だ。
ただ、一つ注意点がある。筆者が勤務してきた組織では、90日ごとにパスワードの変更が義務付けられていた。このため、変更時期の四季をパスワードに使う人たちがいた。たとえば、「Spring2023!」「Summer2023!」「Fall2023!」「Winter2023!」といった形だ。これもプロのハッカーなら1分で破れる。自分だけの特別な組み合わせを使おう(「!」ばかり使わずに、「+」などあまり使われない記号を使ってみよう)。
レベル4:2要素認証のパスワードフレーズ
2要素認証は、銀行や仕事のメールやファイル共有など、より機密性の高いログインアカウントに推奨されるもので、確認テキストやメール、生体認証、トークン(物理的なフォブでもいいし、グーグル認証システムなどの認証システムでもいい)を使う。2要素認証と複雑なパスフレーズを組み合わせると、ハッキングのリスクを大幅に低減できる。
完璧ではないが、2要素認証は、セキュリティの専門家なら誰もが認めるような効果がある。すなわち、あなたをハッキングが非常に難しいターゲットにしてくれるのだ。そうなると、ハッカーは通常、あなたではなく、もっと簡単なターゲットを探すだろう。
レベル5:2要素認証のあるパスワード管理ソフト
ログイン情報を保護するためには、複雑なパスフレーズと2要素認証を組み合わせるのが一番だと知っていても、それを記憶しておく、記録しておく、ないしは共有するという問題が残っている。このため、従業員とログイン情報を共有する組織では、ワンパスワード(1Password)やダッシュレーン(Dashlane)といったパスワード管理ツールを使うことが推奨されている。
パスワード管理ツールも絶対的ではないが、ハッキング対策が不十分な従業員が、意図せずデータを流出させる事態を防げる。また、解雇された従業員をすぐにロックアウトできるため、組織全体のパスワードをリセットする必要がない。
共有アカウントは、本質的にリスクがある。他人とパスワードを共有した瞬間に、そのアカウントの脆弱性は高まり、ハッキングされる可能性も高くなる。パスワードを共有するなら、少なくとも90日おきに変更する必要がある。パスワードにアクセスできる人が組織を離れた場合、ただちに変更が必要だ。ほとんどの大規模な公共・民間組織では、この頻度でパスワード更新を義務付けている。ただ、前述のような簡単に予想できるパスワード(Spring2023!、Summer2023!、Fall2023!、Winter2023!)は避けよう。
* * *
お粗末なパスワード管理は、10年以上前から情報漏えいの最大の原因となってきた。毎週100万個のパスワードが盗まれている。盗まれたログイン情報を使われることが、ハッキングの2番目に多くの原因となっている。データ漏えいの85%は、フィッシングや認証の窃盗、そして人為的なミスによるものだ。こうしたデータ窃盗は、多くの場合、外部アクターが金銭目的で行っている。
2022年のベライゾン・データ漏えい調査報告書によると、敵対的な行為者は、企業や組織をターゲットにする時、まず、脆弱なパスワードか盗まれたパスワードでネットワークにアクセスすることが多い。実際、基本的なウェブアプリ攻撃で生じる不正侵入の82%は、パスワードなどの認証情報を盗むことで達成されている。
企業は、従業員が実際に守れる最も安全なアプローチを見つける必要がある。パスワードのセキュリティポリシーを策定する時は、このことを念頭に置こう。世界最強のシステムを導入しても、従業員がそれに反する行動を取っていたら意味がない。したがって企業は、安全な状態を維持し、よいパスワードを使うことを負担に感じる必要はないと従業員に伝えつつ、自社の従業員に本当に効果があるバランスを取る努力をすべきだ。
"Help Your Employees Make Strong Passwords a Habit," HBR.org, January 30, 2023.
