ログインをセキュリティ保護する
学習の目的
この単元を完了すると、次のことができるようになります。
- 強力なパスワードを作成する。
- パスワードマネージャーの価値を説明する。
- 多要素認証を定義する。
強力なパスワードを作成する
調査チームがデータの漏洩からパスワードを収集した研究で、数字パターンや「hello」という単語の使用が、世界全域で使用されているパスワードの一般的なトレンドであることが判明しています。「サイバー犯罪者に簡単に見破られるようなパスワードにはしていない。家族の名前、好きな食べ物、好きな色を使用して推測不能なパスワードにしている」と思っているかもしれません。けれども、攻撃者はその点もお見通しのため、ソーシャルメディアや公共インターネットであなたのことをちょっと調べれば、パスワードを簡単に割り出せるものと思われます。複数のアカウントでパスワードを使い回している場合には、以前の侵害で流出したあなたのパスワードを攻撃者がダークウェブで見つけ出すかもしれません。自分を守るにはどうすればよいのでしょうか?
-
強力なパスワードを作成する。パスワードの文字数が多いほど、攻撃者が解読しにくくなります。長いパスワードを使用し (システムによって技術的に適用されるパスワード要件が異なります。概して、パスワードが長いほど攻撃者に侵害されにくくなります)、一般的な言葉やパスワード、連続する文字や繰り返しの文字 (12345、aaaaaa など) を避けます。また、パスワードに自分の識別情報やユーザー名、アクセスしているサービス名などを含めないようにします。推測しやすい文字を排除すれば、攻撃者がアカウントを侵害しにくくなります。強力なパスワードを作成する 1 つの方法は、フレーズを使用することです。たとえば、「InSuddenImpactfrom1983ClintsaysMakeMyDay@!」のように歌詞や映画のセリフをフレーズに組み込みます。
-
アカウントごとに一意のパスワードを使用する。作成するパスワードの独自性が高いほど、ハッカーが推測しにくくなります。複数のアカウントに同じパスワードを使い回している場合は、その 1 つがハッキングされると、すべてのアカウントが危険にさらされます。
-
パスワードを共有しない。パスワードはあなただけのものです。誰にも知られてはなりません。また、安全でない場所に保管していると、誤って共有してしまうことがあります。(付箋に書き留めるのはやめましょう!)
-
工場出荷時のデフォルトのユーザー名とパスワードを変更する。
-
ブラウザーのパスワード保存機能は慎重に使用する。ブラウザーにパスワードを保存すると便利ではありますが、コンピューターにアクセスできるすべての人にパスワードをさらすことになります。
-
共有コンピューターからはログアウトする。共有または公共のコンピューターからは常にログアウトし、パスワードが保存されて次のユーザーがアクセスできる状態にならないようにします。
-
パスワードの自動入力を無効にすることを検討する。自動入力は便利ですが、他者がデバイスにアクセスできるとセキュリティリスクとなります。
一意の長いパスワードをいくつも作成したとして、このすべてをどうやって覚えておくことができるのかと疑問に思っているかもしれません。そこで登場するのがパスワードマネージャーです。
パスワードマネージャーを活用する
パスワードマネージャーは、インターネット上の各サイトのパスワードを保存して、アクセスするたびに思い出してくれるオンラインツールで、パスワードの本拠地のようなものと考えることができます。マスターキーでロックされ、あなたしかアクセスすることができません。
パスワードマネージャーは任意のブラウザーに常駐し、各アカウントにログイン情報を入力します。このマネージャー自体にログインする (非常に強力な) マスターパスワードを 1 つ覚えておく必要がありますが、残りは自動的に処理されます。素晴らしいですよね? そのうえ、このツールはパスワードを保存するだけでなく、強力なパスワードを生成してくれます。
巷に何十種類ものパスワードマネージャーが存在します。自分に適したものを選んだら、次の手順に従って設定します。
-
ユーザーガイドを読みます。選択したパスワードマネージャーのユーザーガイドや FAQ を読む時間を取り、すべての機能やその効果的な使用方法を理解します。
-
あらゆるアカウントのログイン情報 (ユーザー名やパスワードなど) を収集します。最初に、デバイスやブラウザーに組み込みのパスワードマネージャーを確認します。次に、メールの受信箱をチェックします。定期的にメールを送信してくる企業にはユーザー名とパスワードを設定しているものと思われます。
-
ログイン情報をパスワードマネージャーにインポートします。このインポートは数通りの方法で実行できます。一番簡単な方法は、新しいパスワードマネージャーの自動インポートツールを利用することです。各サイトにログインするたびに、そのパスワードをサービスに追加していくこともできます。あるいは、都合のよいときにアカウント情報を手動で入力することもできます。
-
脆弱なパスワードを更新します。すべての情報をパスワードマネージャーに入力した後で、脆弱なパスワードがないか確認します。各自のツールに搭載されているパスワード生成機能を使用して、すべてのアカウントの更新プロセスを開始します。
-
デバイス全体でパスワードマネージャーを同期させます。パスワードマネージャーの多くはデバイス全体で同期するため、スマートフォンやタブレットなど、どこからでもパスワードにアクセスできます。
-
パスワードマネージャーを定期的に更新する。ソフトウェアの更新にはセキュリティパッチが含まれていることがよくあります。パスワードマネージャーが自動的に更新されるように設定するか、手動で行うことを忘れないようにします。
-
ブラウザーの拡張機能を確認する。一部のパスワードマネージャーにはログインやフォーム入力を簡単にするためのブラウザー拡張機能が含まれています。このような機能は信頼できるソースからのみインストールするようにします。
上記の手順により、すべてのアカウントに強力で一意のパスワードを作成できます。さらに、新しいパスワードマネージャーのおかげで、こうしたパスワードを覚えておく必要がありません。ただし、依然としてパスワードが侵害されるおそれがあります。そのため、次に多要素認証を使用してセキュリティを強化する方法を学習します。
多要素認証を使いこなす
オンラインアカウントにログインする従来のさほど安全でないやり方は、ユーザー名と、大半のオンラインアカウントで使い回しているわかりやすいパスワードを入力することです。けれども、パスワードを使用するだけでは、しかもパスワードを全アカウントに使い回しているような場合には、攻撃者がその 1 つのパスワードを解読して、いくつものアカウントを簡単に侵害することができます。アカウントの保護を簡単に強化できる手段となるのが、多要素認証 (MFA) です。
多要素認証はセキュリティの拡張機能で、アカウントにログインするユーザーに 2 つ以上の異なる検証種別の認証要素を提示することを求めます。ログイン情報は次の 3 つのカテゴリのいずれかに分類されます。
-
あなたが知っていること。通常はユーザー名とパスワードがこれに該当します。ユーザー名を覚えておき、ログイン時に入力して情報にアクセスします。
-
あなたが持っているもの。この認証はやや複雑です。通常は、番号を生成し、その番号を入力するよう指示してログイン要求を承認するトークン形式か、バッジやデビットカードなどのカード形式のいずれかです。
-
あなた自身の特性。生体認証手法がこれに該当し、最近増えています。使用される手法には、指紋、顔認識、掌形認識、網膜または虹彩スキャン、筆跡、声分析などがあります。また、行動の特徴、または動き方や動作の測定値も含まれます。このテクノロジーはバックグラウンドで機能し、ユーザーの行動を常に監視します。そのため、ユーザーがログインしようとするときには、動き方のみでユーザーが認識されます。例として、キーストロークのリズムやマウスの使用などが挙げられます。
銀行の ATM でキャッシュカード (あなたが持っているもの) をスワイプして、暗証番号 (あなたが知っていること) を入力している場合には、すでに MFA を利用していることになります。もう 1 つの例は、Web サイトにログインするときに、スマートフォンに数字コードが届き、その番号を入力してアカウントにアクセスする場合です。ベンダーに MFA のオプションがあるときは使用することをお勧めします。パスワードのみの場合よりもセキュリティが強化されるためです。最適なオプションは、可能であれば、YubiKey などのハードウェアトークンまたは時間ベースのワンタイムパスワード (TOTP) を使用することです。デバイス自体を盗まない限り、攻撃者による侵害が困難になるためです。セキュリティトークンや TOTP を利用できない場合は、SMS またはメールを 2 つ目の要素として使用するほうが、ユーザー名とパスワードだけの場合よりは安全です。
正直に言って、パスワードをどれほど強化しても、常に侵入されるリスクは存在します。アカウントの 1 つがハッキングされるだけで、あなたの重要な情報がサイバー犯罪者の手に渡ります。ここで肝要なことは、MFA を有効にして、高度な権限、リモートアクセス、高価値アセットに関連するすべてのアカウントの保護を常に優先することです。こうすれば、メール、銀行取引、ソーシャルメディアなどログインを要するすべてのサービスのアカウントにアクセスできるのがあなただけになります。多要素認証についての詳細は、こちらのサイトを参照してください。
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の説明を右側の対応するカテゴリにドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[リセット] をクリックしてください。
おつかれさまでした。
次の単元では、あなたのデジタルライフ、特にデバイスのセキュリティを確保するさらなる方法を見ていきます。
リソース
-
PDF: Verizon: 2023 Data Breach Investigations Report (2023 年データ侵害調査レポート) (サインアップが必要)
-
外部サイト: Fortinet: Multi-factor Authentication (MFA) (多要素認証 (MFA))
-
外部サイト: Cyber News: Are password managers safe to use in 2023? (2023 年、パスワードマネージャーを使用するのは安全か?)
-
外部サイト: 米国標準技術局 (NIST): Back to basics: Multi-factor authentication (MFA) (基本に戻る: 多要素認証 (MFA))
-
外部サイト: NIST Special Publication 800-63B: Digital Identity Guidelines (NIST 特別刊行物 800-63B: デジタル ID のガイドライン)
-
外部サイト:Expert Insights: The Future Of User Authentication: A Guide To Behavioral Biometrics (ユーザー認証の将来: 行動的生体認証ガイド)