組織が引き続きセキュリティを優先課題とする中で、その取り組みの重要な一部は、ベストプラクティスについて一般ユーザーを教育し、力を与えることです。Yubicoの2019年版「パスワードとセキュリティ認証に関するセキュリティ行動」レポート:
回答者の3人に2人が同僚とパスワードを共有している
参加者の51%が、個人用アカウントと業務用アカウントでパスワードを使い回していると回答
57%が、フィッシング攻撃を受けた後もパスワードを変更しなかったと回答
企業に変化をもたらすには、セキュリティチームとITチームが従業員にベストプラクティスを周知する必要があります。パスワード管理に関して、適切なパスワード衛生を促す最も簡単な方法の一つは、職場全体にパスワード管理ソリューションを導入することです。以下に、取り入れるべきベストプラクティスを紹介します。
1. パスワード管理ソリューションを活用する
多くの人は一日の中で、パスワードが必要なさまざまなサイトを利用します。固有で十分に強力な多数のパスワード(またはパスフレーズ)を覚えるのは、事実上不可能です。パスワードマネージャーは、さまざまなサイトでのパスワード利用を簡素化し、ユーザーの安全性を高めます。優れたパスワードマネージャーは数多くあります。クロスプラットフォームで動作し、個人向けに無料または非常に低価格でサービスを提供しているものを優先しましょう。多くのパスワードマネージャーの機能も、ここ数年で拡充されています。
2. 組織全体に簡単に展開できるツールを選ぶ
パスワードマネージャーは、初心者から上級者まで、あらゆるレベルのユーザーにとって使いやすい必要があります。大規模または分散した従業員ベースを想定する場合、アプリケーションは直感的に使え、展開しやすいものであるべきです。たとえば、Bitwarden Cloudを選ぶ場合でも、独自の自己ホスト型インスタンスを展開する場合でも、Bitwardenの導入と稼働は簡単です。また、Bitwarden Directory Connectorは、Azure、Active Directory、Google、Oktaなど、現在最も広く使われているディレクトリサービスと連携し、Bitwardenユーザーをチームや従業員と同期した状態に保ちます。
3. 侵害された可能性がある場合にのみパスワードを変更する
3か月ごとにパスワードを変更する時代は終わりました。今は、侵害されたと思われる場合にのみ変更すべきです。米国国立標準技術研究所(NIST)は、ユーザーにパスワードを頻繁に変更することを推奨していません。実際には、そのような行為が長期的に弱いパスワードにつながる可能性があります。クレジットカードの不正利用などの具体的な証拠を参照したり、パスワードマネージャーのように、侵害でパスワードが流出済みかどうかを判定できるツールを使用したりすることで、パスワードが侵害されたかどうかを判断できます。
4. 強力で固有のパスワードを使用する
オンラインで利用するすべてのサービスに強力で固有のパスワードを使用することで、データ侵害の影響を最小限に抑えられます。強力なパスワードとは、よくある単語や名前に特殊文字や数値を追加するだけではありません。パスワードのエントロピー、つまりランダム性を高めることを意味します。強力なパスワードを作成する簡単な方法の一つは、パスフレーズを使うことです。パスフレーズは、一見関連のない単語やフレーズを組み合わせたもので、ユーザーには覚えやすい一方、攻撃者には推測しにくいものです。パスフレーズは高いエントロピーを持ちながら、覚えやすいという利点があります。
5. 可能な限り二要素認証を有効にする
二要素認証(2FA)が消費者向けおよびビジネス向けのWebサイトで一般的になるにつれ、優れたパスワードマネージャーにはこの機能を拡張する手段が含まれています。2FAを使用すると、マスターパスワードの入力に加えて別のトークンの入力が求められるため、アカウントのセキュリティが高まります。たとえ誰かがあなたのマスターパスワードを発見したとしても、追加のトークンにアクセスできなければ、パスワードマネージャーにログインすることはできません。パスワードマネージャーを使い始めたい場合は、無料のBitwardenアカウントに登録できます。こちら。