米国国立標準技術研究所 (NIST) のエンジニアである Bill Burr が 2003 年に書いたとき、すぐに世界の パスワードセキュリティのゴールドスタンダード、彼は人々や組織に、文字、数字、記号の長くて「混沌とした」行を発明してアカウントを保護し、それらを定期的に変更するようにアドバイスしました.
XNUMX年後、バーは過去のアドバイスを後悔していることを認めた. 「それは人々をバナナに駆り立てるだけであり、あなたが何をしても良いパスワードを選択しません」と彼は言いました. ウォールストリートジャーナルに語った.
または、有名なように xkcdコミックが掲載しました: 「20 年間の努力により、人間には覚えにくく、コンピューターには推測しやすいパスワードを使用するように全員をトレーニングすることに成功しました。」
最近では、平均的な人 最大 100 個のパスワードを覚えておく必要があります、近年急速にその数が増えています(実際、一部の人々は 約 50 個のパスワードを使用、多くのオフライン コードを含む、何年も前に、一部のセキュリティ専門家は、そのようなパスワードの習慣とポリシーは持続不可能であると指摘しています。)
実際、研究によると、人々は通常、 最大 XNUMX つのパスワード 作成して近道をする 推測しやすいパスワード その後 さまざまなオンライン アカウントでそれらをリサイクルする. 実際に数字や特殊文字を文字に置き換える人もいますが (たとえば、「password」が「P4??WØrd」に変わる)、それでもパスワードは解読されやすくなります。
近年、The Open Web Application Security Project (OWASP) などの主要な組織や、もちろん NIST 自体が、 彼らの方針と助言を変えた パスワードのセキュリティを強化しながら、よりユーザーフレンドリーなアプローチに向けて。
同時に、次のようなハイテク大手 Microsoft および でログイン 誰もがパスワードを完全に捨てることを奨励しており、 パスワードレスにする その代わり。 ただし、中小企業がパスワードをまだ手放す準備ができていない場合は、2023 年にあなたと従業員を助けるためのガイダンスを以下に示します。
不必要に複雑なパスワード構成ルールを課すのをやめる
非常に複雑な構成ルール (ユーザーに大文字と小文字の両方、少なくとも XNUMX つの数字と特殊文字を含めることを要求するなど) は、もはや必須ではありません。 これは、そのようなルールがユーザーに強力なパスワードを設定するように促すことはめったになく、代わりに予想どおりに行動し、「二重の苦」であるパスワードを考え出すように促すためです。パスワードは脆弱で覚えにくいものです.
パスフレーズに切り替える
短くて難しいパスワードの代わりに、 パスフレーズを探す. それらはより長く、より複雑ですが、それでも覚えやすいです。 たとえば、大文字、特殊文字、絵文字が散りばめられた、何らかの理由で頭に残った文全体である可能性があります。 非常に複雑ではありませんが、自動化されたツールが解読するにはまだ何年もかかります.
数年前、適切なパスワードの最小長は 5 文字で、大文字と小文字、記号、および数字で構成されていました。 現在、自動化されたパスワード クラッキング ツールは、特に MDXNUMX ハッシュ関数で保護されている場合、そのようなパスワードを数分で推測できます。
これは Hive Systems によって実行されるテスト 逆に、大文字と小文字のみを含む 2023 文字の単純なパスワードは、クラックするのにはるかに長い時間がかかります。
最低でも 12 文字の長さを目指してください - 多ければ多いほど良いです!
NIST のガイドラインでは、長さがパスワード強度の重要な要素であることを認めており、複数のスペースを組み合わせた後の最大長は 12 文字で、最大長は 64 文字です。 すべてが同じであれば、より楽しいです。
さまざまなキャラクターを有効にする
パスワードを設定するとき、ユーザーは絵文字を含むすべての印刷可能な ASCII および UNICODE 文字から自由に選択できる必要があります。 また、パスフレーズの自然な部分であるスペースを使用するオプションも必要です。これは、従来のパスワードの代替としてよく推奨される方法です。
パスワードの再利用を取り締まる
それは今では常識です 人々は自分のパスワードを再利用すべきではありません これは、XNUMX つのアカウントの侵害が他のアカウントの侵害につながる可能性があるためです。
しかし、多くの習慣はなかなか消えず、回答者の約半数 2019年のPonemon Instituteの調査で は、ビジネスおよび/または個人のアカウントで平均 XNUMX つのパスワードを再利用したことを認めています。
パスワードの「使用期限」を設定しない
また、NIST は、ユーザーが要求したり、侵害の証拠がない限り、定期的なパスワードの変更を要求しないことを推奨しています。 その論理的根拠は、新しいかなり強力なパスワードを常に考えなければならないことに対して、ユーザーはそれほどの忍耐力しか持っていないということです。 その結果、彼らに定期的にそうさせることは、良いことよりも害を及ぼす可能性があります.
Microsoft が XNUMX 年前にパスワードの有効期限ポリシーの廃止を発表したとき、パスワードの有効期限という概念全体に疑問を投げかけました。
「パスワードが盗まれる可能性が高いと仮定した場合、泥棒がその盗まれたパスワードを使用し続けるのに許容できる期間は何日ですか? Windows のデフォルトは 42 日です。 それは途方もなく長い時間のように思えませんか? そうです、それでも現在のベースラインは 60 日と言い、以前は 90 日と言っていました。 Microsoft のブログを読んでいます。
これは単なる一般的なアドバイスであることに注意してください。 ビジネスにとって重要で、攻撃者にとって魅力的なアプリを保護している場合でも、従業員にパスワードを定期的に変更するよう強制することができます。
ヒントと知識ベースの認証を捨てる
パスワードのヒントや知識ベースの確認用の質問も時代遅れです。 これらは実際にはユーザーが忘れたパスワードを探すのに役立つかもしれませんが、攻撃者にとっても非常に価値のあるものになる可能性があります. 私たちの同僚であるジェイク・ムーアは、ハッカーが「パスワードを忘れた」ページを悪用して他の人のアカウントに侵入する方法を何度か示しました。 PayPal および Instagram.
たとえば、「あなたの最初のペットの名前」などの質問は、ちょっとした調査やソーシャル エンジニアリングで簡単に推測できますが、自動ツールが通過しなければならない可能性は無限にあるわけではありません。
共通パスワードをブラックリストに登録する
以前に使用された構成ルールに頼るのではなく、新しいパスワードをパスワードの「ブラックリスト」と照合して確認してください。 最も一般的に使用される および/または以前に侵害されたパスワードであり、一致の試行を受け入れられないと評価します。
2019年には、 マイクロソフトがスキャンした そのユーザーのアカウントは、ユーザー名とパスワードを、漏洩した資格情報の 44 億セット以上のデータベースと比較します。 パスワードが侵害された XNUMX 万人のユーザーが発見され、パスワードのリセットが強制されました。
パスワード マネージャーとツールのサポートを提供する
「コピー アンド ペースト」機能、ブラウザのパスワード ツール、および外部のパスワード マネージャーが、ユーザーのパスワードを作成して保管する手間を処理できるようにします。
また、ユーザーは、マスクされたパスワード全体を一時的に表示するか、パスワードの最後に入力した文字を表示するかを選択する必要があります。 OWASPガイドラインによると、特に長いパスワード、パスフレーズ、およびパスワードマネージャーの使用に関して、資格情報エントリの使いやすさを改善することを目的としています。
初期パスワードの保存期間を短く設定する
新しい従業員がアカウントを作成するとき、システムが生成する初期パスワードまたはアクティベーション コードは、少なくとも XNUMX 文字の長さで安全にランダムに生成され、文字と数字が含まれている必要があります。
短期間で有効期限が切れ、真の長期パスワードにならないことを確認してください。
パスワードの変更についてユーザーに通知する
ユーザーがパスワードを変更するときは、最初に古いパスワードを入力するように求め、理想的には 2 要素認証 (XNUMXFA) を有効にする必要があります。 完了したら、通知を受け取る必要があります。
パスワードの回復プロセスに注意してください
回復プロセスで現在のパスワードが明らかにならないだけでなく、アカウントが実際に存在するかどうかに関する情報にも同じことが当てはまります。 つまり、攻撃者に (不必要な) 情報を提供しないでください。
CAPTCHA やその他のアンチオートメーション コントロールを使用する
アンチオートメーション コントロールを使用して、認証情報のテストの侵害、ブルート フォース攻撃、アカウント ロックアウト攻撃を軽減します。 このような制御には、侵害された最も一般的なパスワードのブロック、ソフト ロックアウト、レート制限、CAPTCHA、試行間の遅延の増加、IP アドレスの制限、または場所、デバイスへの最初のログイン、アカウントのロック解除の最近の試みなどのリスクベースの制限が含まれます。 、 または類似。
現在の OWASP 基準によると、100 つのアカウントで XNUMX 時間あたり最大 XNUMX 回の失敗試行が発生するはずです。
頼らないで の パスワードについて
パスワードがどれほど強力でユニークであっても、攻撃者と貴重なデータを隔てる単一の障壁のままです。 安全なアカウントを目指す場合、追加の認証レイヤーは絶対に必要なものと見なす必要があります。
そのため、可能な限り 2 要素 (XNUMXFA) または多要素認証 (MFA) を使用する必要があります。
ただし、すべての 2FA オプションが同等に生まれるわけではありません。 SMS メッセージは、2FA をまったく使用しないよりははるかに優れていますが、多数の脅威の影響を受けやすくなっています。 より安全な代替手段には、専用のハードウェア デバイスと、モバイル デバイスにインストールされた安全なアプリなどのソフトウェア ベースのワンタイム パスワード (OTP) ジェネレーターの使用が含まれます。
注: この記事は、2017 年に公開したこの記事の更新および拡張版です。 無意味なパスワード要件はもう必要ありません
おそらくチェックアウト ESETのパスワードジェネレーター?
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :持っている
- :は
- :not
- $UP
- 1
- 100
- 12
- 20
- 20年
- 2017
- 2019
- 2023
- 2FA
- 50
- 60
- 7
- a
- 私たちについて
- 絶対の
- 虐待
- ことができます。
- 従った
- アカウント
- 認める
- 越えて
- 行為
- アクティベーション
- 実際に
- NEW
- 住所
- 認められた
- アドバイス
- 後
- に対して
- 年齢
- 前
- 目指す
- すべて
- 許す
- また
- 代替案
- 選択肢
- しかし
- 全部
- an
- および
- 発表の
- どれか
- アプリ
- 申し込み
- アプリケーションセキュリティ
- アプローチ
- アプリ
- 4月
- です
- 周りに
- 記事
- AS
- At
- 攻撃
- 試み
- 魅力的
- 認証
- 自動化
- 平均
- バリア
- ベースライン
- BE
- なぜなら
- になる
- き
- さ
- より良いです
- の間に
- ビル
- 10億
- ビット
- ブロッキング
- ブログ
- 生まれる
- 両言語で
- 違反
- ブレーク
- ブラウザ
- 強引な
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- 注意深い
- 場合
- 例
- 変化する
- 変更
- 文字
- 文字
- チェック
- 選択する
- コード
- コード
- 同僚
- 結合
- 来ます
- コマンドと
- 一般に
- 比較
- 複雑な
- 構図
- 妥協
- 損害を受けた
- コンピューター
- 見なさ
- 絶えず
- 含む
- 含まれています
- 続ける
- 逆に
- controls
- 従来の
- コース
- クラック
- 作成
- クレデンシャル
- Credentials
- 重大な
- 電流プローブ
- データ
- データベース
- 日付
- 日
- 専用の
- デフォルト
- 遅延
- デバイス
- Devices
- 死
- 異なります
- 難しい
- ディスプレイ
- do
- そうではありません
- 行われ
- ドント
- ダウン
- ドライブ
- 落ちる
- e
- 簡単に
- 簡単に
- 努力
- どちら
- 従業員
- 社員
- enable
- 奨励する
- 心強い
- エンドレス
- エンジニア
- エンジニアリング
- 入力します
- 全体
- エントリ
- 等しい
- 特に
- 確立する
- 評価する
- さらに
- 増え続ける
- 誰も
- 証拠
- 例
- 存在
- 専門家
- 期限切れ
- 外部
- 実際
- 要因
- Failed:
- 有名な
- 遠く
- 少数の
- 名
- 強
- 発見
- 無料版
- 頻繁な
- から
- function
- 機能性
- 生成された
- 発電機
- 受け
- 巨人
- 与えられた
- Go
- 良い
- 素晴らしい
- 成長
- 推測された
- ガイダンス
- ガイドライン
- ハッカー
- 半分
- ハンドル
- ハード
- Hardware
- ハードウェアデバイス
- 害
- ハッシュ
- 持ってる
- 持って
- he
- 助けます
- 隠されました
- ヒント
- 彼の
- ハイブ
- 時間
- 認定条件
- しかしながら
- HTML
- HTTPS
- 人間
- アイデア
- 理想的には
- if
- 堂々たる
- 改善します
- in
- その他の
- include
- 含めて
- の増加
- 情報
- 初期
- インストール
- を取得する必要がある者
- 機関
- に
- 紹介する
- 紹介します
- 巻き込む
- IP
- IPアドレス
- IT
- ITS
- 自体
- JPG
- ただ
- キー
- 重要な要因
- 姓
- 後で
- 層
- つながる
- 主要な
- 最低
- 長さ
- 生活
- ような
- 可能性が高い
- 制限する
- ライン
- 少し
- 場所
- ロックアウト
- ログイン
- 長い
- 長い時間
- 長期的
- より長いです
- 下側
- 作る
- マネージャー
- 多くの
- マッチング
- 問題
- 五月..
- MD5
- メッセージ
- MFA
- Microsoft
- かもしれない
- 百万
- マインド
- 最小
- 分
- 軽減する
- モバイル
- モバイルデバイス
- 他には?
- 最も
- ずっと
- の試合に
- しなければなりません
- 国民
- ナチュラル
- 新作
- ニスト
- いいえ
- 通知
- 今
- 数
- 番号
- 多数の
- 廃止された
- 機会
- of
- オンライン
- 古い
- on
- かつて
- ONE
- オンライン
- の
- 開いた
- オプション
- オプション
- or
- 注文
- 組織
- その他
- 私たちの
- でる
- 自分の
- ページ
- 部
- 特に
- パスワード
- パスワードのリセット
- パスワード
- 過去
- 忍耐
- のワークプ
- 人々の
- 以下のために
- 期間
- 人
- 個人的な
- 選ぶ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポリシー
- 方針
- の可能性
- 可能
- 前に
- 問題
- プロセス
- プロジェクト
- 守る
- 提供します
- 公表
- 置きます
- 質問
- 疑わしい
- 質問
- ランダムに生成
- 急速な
- まれに
- レート
- 根拠
- 到達
- 準備
- 本当に
- 理由
- 受け取ります
- 最近
- お勧めする
- 回復
- レギュラー
- 定期的に
- 頼る
- 残っている
- 覚えています
- の提出が必要です
- 研究
- 回答者
- 制限
- 結果
- 再利用
- 明らかにする
- ルール
- ラン
- s
- 同じ
- 言う
- 言う
- を検索
- 安全に
- セキュア
- しっかりと
- 確保する
- セキュリティ
- 思われる
- 文
- 切り離す
- セッションに
- セット
- いくつかの
- 棚
- ショート
- すべき
- 示す
- サイン
- 同様の
- 簡単な拡張で
- SIX
- 小さい
- SMS
- So
- 社会
- ソーシャルエンジニアリング
- ソフト
- 一部
- すぐに
- スペース
- 特別
- スタンド
- 標準
- 規格
- まだ
- 盗まれました
- ストリート
- 力
- 強い
- 強い
- 研究
- 首尾よく
- そのような
- スーパー
- サポート
- 確か
- がち
- 取る
- 取り
- テク
- ハイテク巨人
- テクノロジー
- テスト
- より
- それ
- アプリ環境に合わせて
- それら
- その後
- そこ。
- ボーマン
- 彼ら
- 物事
- 考える
- この
- 脅威
- 三
- 介して
- 時間
- ヒント
- 〜へ
- 今日
- ツール
- 豊富なツール群
- に向かって
- 伝統的な
- 訓練された
- true
- ターン
- 一般的に
- 私達
- ユニーク
- アンロック
- 不必要に
- 不要
- 持続不可能
- 更新しました
- 使いやすさ
- つかいます
- 中古
- ユーザー
- 「DeckleBenchは非常に使いやすく最適なソリューションを簡単に見つけることができるため、稼働率が向上しコストも削減した。当社の旧システムは良かったが改善は期待していなかった。
- users
- 貴重な
- 値
- 多様
- さまざまな
- 検証する
- バージョン
- 詳しく見る
- 壁
- ウォール街
- ました
- 方法
- we
- ウェブ
- ウェブアプリケーション
- WELL
- この試験は
- いつ
- たびに
- かどうか
- which
- while
- 全体
- なぜ
- 幅
- 意志
- ウィンドウズ
- 知恵
- 言葉
- 世界の
- でしょう
- 書いた
- WSJ
- 年
- まだ
- You
- あなたの
- ユーチューブ
- ゼファーネット