パスワードは私たちのデジタルライフにおける主要な鍵であり、多くの場合、機密データの漏洩を防ぐ唯一の障壁となっています。IT管理者はハッカーのように考え、行動し、脆弱なパスワードを積極的に特定し、データ侵害の一歩先を行く必要があります。
しかし、Gawkerで最近発生した情報漏洩事件と、その後に流出したパスワードの分析は、パスワードがセキュリティチェーンにおける弱点であることを改めて浮き彫りにしました。「123456」のようなよく使われるパスワードは、まるで「鍵はここに隠されています」と点滅するサインをつけた玄関マットの下に家の鍵を置くのと同じような、いわばデジタル版です。脆弱なパスワードによって得られるセキュリティは取るに足らないものであり、導入と維持に費やす労力に見合うものではありません。
一般的な知恵と確立されたベスト プラクティスでは、パスワードに関するいくつかの基本的なルールが示されています。パスワードは個人情報や辞書に載っている単語に基づいてはならず、一定の長さで、ある程度の複雑さがあり、定期的かつ頻繁に変更する必要があります。
残念ながら、攻撃者によるパスワードの解読や推測が困難になるほど、正当なユーザーにとってもパスワードを記憶することが難しくなります。そのため、ユーザーはパスワードを机上のメモ帳に書き留めたり、パスワードポリシーを回避してパスワードの記憶と管理を容易にしようとしたりします。
一部の専門家は、パスワードを定期的に変更することを義務付けるという標準的な方法は誤りかもしれないと指摘しています。解読されたパスワードは近い将来使用される可能性が高いため、3ヶ月ごと、あるいは1ヶ月ごとにパスワードを変更するポリシーを策定する必要があります。これは、逃げ出した馬の後に納屋の扉を閉めるようなものです。
IT管理者は、ハッカーの視点に立ち、攻撃者がパスワードを解読して機密データを侵害するために使用する可能性のあるツールを使用することで、パスワードセキュリティの有効性をテストできます。カインとアベルやジョン・ザ・リッパーなどのツールは、攻撃者にとって格好の標的となる、簡単に破られる可能性のあるパスワードを特定できます。
結果は非常に啓発的です。パスワードポリシーが従来の常識に沿っているように見えても、ユーザーが脆弱なパスワードを作成する方法を見つけてしまうことはよくあります。パスワードを解読するための時間を投資することで、脆弱なパスワードを使用しているユーザーを教育し、類似のパスワードを防ぐためにパスワードポリシーを修正し、パスワードポリシーの変更を正当化するための確固たる証拠を経営陣に提示する機会が得られます。
十分な時間があれば、どんなパスワードも無敵ではありません。しかし、十分に強力なパスワードであれば、解読には少なくともかなりの時間がかかります。そのため、パスワードを頻繁に変更する必要がなくなり、ユーザーにとって管理が容易になります。
