デジタルセキュリティ
そして、それは本当に正しい質問なのでしょうか?アカウントを安全に保つために考慮すべき点は次のとおりです。
4月03 2024
•
,
5分。 読んだ
過去数年間に、世界の成長の可能性について多くのことが言われてきました。 パスワードなしの認証 および パスキー。スマートフォンベースの顔認識がほぼ普及したおかげで、デバイスを覗き込むことで(または別の方法で)お気に入りのアプリやその他のサービスにログインできるようになりました。 生体認証、さらに言えば)は、今や多くの人にとって、さわやかでシンプルで安全な現実です。しかし、特にデスクトップの世界ではまだ標準ではなく、私たちの多くは依然として古き良きパスワードに依存しています。
ここに課題があります。なぜならパスワードだからです。 依然として詐欺師の主要な標的となっている および他の脅威アクター。では、これらの資格情報を安全に保つためには、どのくらいの頻度で資格情報を変更する必要があるのでしょうか?この質問に答えるのは、思っているよりも難しいかもしれません。
パスワードの変更が意味をなさない理由
少し前までは、サイバー犯罪者によるひそかな盗難やクラッキングのリスクを軽減するために、パスワードを定期的にローテーションすることが推奨されていました。一般に受け入れられている知恵は 30 日から 90 日の間でした。
しかし、時代は変化しており、調査によると、特に設定されたスケジュールでパスワードを頻繁に変更すると、 必ずしもアカウントのセキュリティが向上するとは限りません。言い換えれば、いつパスワードを変更すべきかについての、万能の答えはありません。また、私たちの多くはオンライン アカウントが多すぎて快適に追跡することができず、ましてや数か月ごとに各アカウントの (強力で固有の) パスワードを考え出すことはできません。また、私たちは今、次のような世界に住んでいます。 パスワードマネージャ および 2要素認証 (2FA) ほぼどこでも。
前者は、すべてのアカウントの長くて強力な一意のパスワードを保存したり呼び出したりするのが簡単であることを意味します。後者は、パスワード ログイン プロセスに非常にシームレスな追加のセキュリティ層を追加します。いくつかの パスワードマネージャ 認証情報が侵害され、アンダーグラウンド サイトで流通した可能性がある場合に、自動的にフラグを立てるダーク Web モニタリングが組み込まれています。
いずれにせよ、セキュリティの専門家や、米国国立標準技術研究所 (NIST) や英国の国立サイバー セキュリティ センター (NCSC) などの世界的に評価の高い当局が、人々に変化を強制することを推奨しないのには、いくつかの説得力のある理由があります。特定の基準が満たされない限り、パスワードは数か月ごとに更新されます。
理論的根拠は非常に単純です。
- NIST によると、「ユーザーは、近い将来変更する必要があることがわかっている場合、記憶されたシークレットの強度が低いものを選択する傾向があります。」
- 「そうした変更が実際に起こると、パスワードの数字を増やすなどの一般的な変換セットを適用することで、以前に記憶した秘密に似た秘密を選択することがよくあります。」 NISTは続けます.
- 以前のパスワードが侵害され、強力で一意のパスワードに置き換えないと、攻撃者が簡単に再びパスワードを解読できる可能性があるため、この方法では誤ったセキュリティ感が得られます。
- NCSC によると、新しいパスワードは、特に数か月ごとに作成される場合、書き留められたり忘れられたりする可能性が高くなります。
「これは直感に反するセキュリティ シナリオの 1 つです。ユーザーがパスワードの変更を強制される頻度が高くなるほど、攻撃に対する全体的な脆弱性が高まります。完全に賢明で長年確立されているアドバイスのように見えたものは、厳密なシステム全体の分析に耐えられないことが判明しました」と NCSC は述べています。 と主張.
「NCSC は現在、組織に対し定期的なパスワードの有効期限を強制しないことを推奨しています。これにより、定期的に期限切れになるパスワードに関連する脆弱性が軽減され、長期的なパスワード悪用のリスクがほとんど高まることはないと考えています。」
パスワードを変更する時期
ただし、特に最も重要なアカウントの場合、パスワードの変更が必要となるシナリオがいくつかあります。これらには次のものが含まれます。
- あなたのパスワードは サードパーティによるデータ侵害に巻き込まれた。このことについては、プロバイダー自身から通知される可能性があります。 そのようなアラートに登録しました または、ダークウェブ上で自動チェックを実行しているパスワード マネージャー プロバイダーから通知を受ける可能性があります。
- あなたのパスワードは 弱くて推測しやすい、またはひび割れがある (つまり、リストに載っている可能性があります) 最も一般的なパスワード)。ハッカーが使用できる 豊富なツール群 そのうちの 1 つが機能することを期待して、複数のアカウントで共通のパスワードを試しますが、多くの場合、成功します。
- 複数のアカウントでパスワードを再利用しています。これらのアカウントのいずれかが侵害された場合、攻撃者は自動化されたアカウントを使用する可能性があります。 「クレデンシャル スタッフィング」 他のサイト/アプリでアカウントを開くためのソフトウェア。
- たとえば、新しいセキュリティ ソフトウェアのおかげで、デバイスがマルウェアによって侵害されたことがわかりました。
- あなたが持っている パスワードを他の人と共有しました.
- 共有アカウントからユーザー (元のハウスメイトなど) を削除しました。
- 公共のコンピューター (図書館など) または他の人のデバイス/コンピューターにログインしました。
ベストプラクティスのパスワードに関するアドバイス
アカウント乗っ取りの可能性を最小限に抑えるために、次の点を考慮してください。
- 常に強力で長く、一意のパスワードを使用してください。
- 上記をパスワード マネージャーに保存すると、単一のマスター資格情報にアクセスでき、サイトやアプリのすべてのパスワードを自動的に呼び出すことができます。
- パスワード侵害のアラートに常に注意し、受信したらすぐに行動を起こしてください。
- アカウントに追加のセキュリティ層を提供するために、利用可能な場合は常に 2FA をオンにします。
- 検討 パスキーを有効にする 携帯電話を使用してアカウントにシームレスに安全にアクセスできるように提供される場合。
- 定期的なパスワード監査を検討してください。すべてのアカウントのパスワードを確認し、パスワードが重複していないか、簡単に推測できないことを確認してください。弱いものや繰り返しのもの、または誕生日や家族のペットなどの個人情報が含まれる可能性のあるものは変更します。
- たとえそれが良い考えのように見えても、パスワードをブラウザに保存しないでください。ブラウザは、情報を盗むマルウェアを使用してパスワードを盗む可能性がある、脅威アクターの人気のターゲットであるためです。また、保存したパスワードが、デバイス/コンピュータを使用している他の人に公開される可能性があります。
パスワード マネージャー (または ESETのパスワードジェネレーター)、こちらをご参照ください からのヒントのリスト 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA)。最長のパスワードを使用するか、 パスフレーズ 可能な場合は、大文字と小文字、数字、特殊文字を含めて (8 ~ 64 文字) を使用できます。
やがて、Google、Apple、Microsoft、その他の主要なテクノロジーエコシステムプレーヤーの支援を受けて、パスキーがパスワード時代の終焉を告げることが期待されています。ただし、それまでの間、アカウントが可能な限り安全であることを確認してください。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.welivesecurity.com/en/cybersecurity/how-often-should-change-passwords/
- :持っている
- :は
- :not
- :どこ
- $UP
- 2FA
- 30
- 33
- a
- 能力
- できる
- 私たちについて
- 上記の.
- アクセス
- 従った
- アカウント
- 越えて
- Action
- 俳優
- 実際に
- NEW
- 追加
- アドバイス
- 後
- 再び
- 代理店
- 前
- アラート
- すべて
- ほとんど
- 一人で
- また
- an
- 分析
- および
- とインフラ
- 別の
- 回答
- 応答
- どれか
- 誰も
- どこにでも
- アプリ
- 登場
- Apple
- 適用
- アプリ
- 4月
- です
- AS
- 頼む
- 関連する
- 攻撃
- 監査
- 当局
- 自動化
- 自動的に
- 利用できます
- BE
- なぜなら
- き
- 信じる
- の間に
- ブラウザ
- ブラウザ
- 内蔵
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- キャプチャー
- カテゴリー
- センター
- 一定
- 挑戦する
- チャンス
- 変化する
- 変更
- 文字
- 小切手
- 選択する
- 来ます
- comes
- コマンドと
- 説得力のある
- 損害を受けた
- コンピュータ
- 検討
- 相談する
- 含む
- 可能性
- クラック
- クラッキング
- 作成した
- クレデンシャル
- Credentials
- 基準
- サイバー
- サイバーセキュリティ
- サイバー犯罪者
- サイバーセキュリティ
- 暗いです
- ダークウェブ
- データ
- 日
- デスクトップ
- デバイス
- do
- そうではありません
- すること
- ドント
- ダウン
- e
- 各
- 容易
- 簡単に
- 簡単に
- エコシステム
- ほかに
- end
- 確保
- 時代
- 特に
- さらに
- あらゆる
- 例
- 専門家
- 満了
- 搾取
- 余分な
- 目
- フェイシャル
- 顔認識
- かなり
- false
- 家族
- お気に入り
- 少数の
- 最後に
- フォロー中
- 強
- 強制的な
- 忘れ
- 前者
- 頻繁な
- から
- グローバルに
- 良い
- でログイン
- 大きい
- 成長
- 推測
- ハッカー
- 持ってる
- 希望
- 認定条件
- HTML
- HTTPS
- i
- アイデア
- if
- 即時の
- 重要
- 改善します
- in
- その他の
- include
- 含めて
- 増える
- の増加
- 情報
- 情報に基づく
- インフラ関連事業
- 機関
- に
- IT
- JPEG
- JPG
- ただ
- キープ
- 保管
- 知っている
- 層
- 学んだ
- う
- 図書館
- ある
- ような
- 可能性が高い
- リスト
- 少し
- ライブ
- ログ
- ログインして
- ログイン
- 長い
- 長期的
- 探して
- 製
- 主要な
- make
- マルウェア
- マネージャー
- 多くの
- マスター
- 問題
- 最大幅
- 五月..
- 手段
- その間
- 会った
- 方法
- Microsoft
- かもしれない
- 分
- 最小限に抑えます
- 軽減する
- モニタリング
- ヶ月
- 他には?
- 最も
- の試合に
- 国民
- NCSC
- 近く
- 必ずしも
- 新作
- ニスト
- 今
- 数
- 番号
- 発生する
- of
- 提供
- 頻繁に
- 古い
- on
- ONE
- もの
- オンライン
- 〜に
- 開いた
- or
- 注文
- 組織
- その他
- でる
- が
- 全体
- パスワード
- パスワードマネージャ
- パスワード
- 過去
- のワークプ
- 完璧に
- 個人的な
- ペット
- PHIL
- 電話
- ピース
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレーヤー
- 人気
- 可能
- 潜在的な
- 練習
- 前
- プロセス
- 提供します
- プロバイダー
- は、大阪で
- 公共
- 質問
- ランダム
- レート
- 根拠
- 現実
- 理由は
- 受け
- 受け入れ
- 認識
- 推奨する
- 推奨される
- 軽減
- レギュラー
- 定期的に
- 信頼
- 削除済み
- 繰り返される
- replace
- 研究
- 研究は示唆している
- 尊敬される
- レビュー
- 右
- 厳しい
- リスク
- ランニング
- s
- 安全な
- Save
- 保存されました
- シナリオ
- スケジュール
- シームレス
- 秘密
- 秘密
- 安全に
- セキュリティ
- と思われる
- select
- センス
- サービス
- セッションに
- いくつかの
- shared
- すべき
- シグナル
- 同様の
- 簡単な拡張で
- ウェブサイト
- サイト
- So
- ソフトウェア
- 一部
- 特別
- スタンド
- 規格
- まだ
- 店舗
- 強い
- 成功する
- そのような
- 提案する
- サポート
- 取る
- 乗っ取り
- ターゲット
- テク
- テクノロジー
- 傾向があります
- より
- 感謝
- それ
- 盗難
- アプリ環境に合わせて
- それら
- 自分自身
- そこ。
- ボーマン
- 彼ら
- 考える
- サードパーティ
- サードパーティのデータ
- この
- それらの
- 脅威
- 脅威アクター
- 時間
- <font style="vertical-align: inherit;">回数</font>
- ヒント
- 〜へ
- あまりに
- 追跡する
- 変換
- 試します
- ターン
- 地下
- ユニーク
- ない限り、
- us
- つかいます
- users
- 脆弱性
- 脆弱性
- ました
- we
- 弱い
- 弱い
- ウェブ
- この試験は
- いつ
- たびに
- which
- while
- 誰
- なぜ
- 意志
- 知恵
- 言葉
- 作品
- 世界
- でしょう
- 書かれた
- 年
- You
- あなたの
- ゼファーネット