セキュリティ研究者らは現在、パスワードの長さ、強度、 複雑さは重要ではないと述べています

何年もの間、技術サイトは次のようなパスワードのヒントを提供してきました。長くて複雑なパスワード。残念なことに、長年にわたるこのアドバイスはすべて、平均的なホーム ユーザーのパスワードの選択方法にほとんど、あるいはまったく影響を与えていないということです。完全な方向転換としか言いようがありませんが、セキュリティ研究者の間での現在のコンセンサスは、現実の世界では、パスワードの強度、長さ、複雑さはほとんどの場合、まったく問題にならないということです。

全文開示: この記事の一部は、Malwarebytes ブログ記事

パスワード攻撃の最も一般的なタイプは、データ侵害で盗まれたパスワードを使用するクレデンシャル スタッフィングです。これが機能するのは、ユーザーが同じパスワードを 2 つの場所で再利用することが非常に一般的であり、パスワードの強度にまったく影響されないためです。次に最も一般的な攻撃は、パスワード スプレーです。犯罪者は、非常に単純なパスワードの短いリストをできるだけ多くのコンピュータで使用します。どちらの状況でも、笑えるほど単純だが一意のパスワードが攻撃を打ち破るのに十分です。

まれな種類の攻撃 (オフライン パスワード推測) もありますが、強力なパスワードが役立つ可能性がありますが、トレードオフは次のとおりです。強力なパスワードは人々にとって非常に覚えにくいため、すべてに同じパスワードを使用することになり、クレデンシャル スタッフィングに対してさらに脆弱になります ~ <ソース>

もちろん、パスワード マネージャーは有効なソリューションですが、長年にわたって好意的なレビューや推奨がなされてきたにもかかわらず、平均的なホーム ユーザーのほとんどはまだパスワード マネージャーを使用していないのが現実です。では、答えは何でしょうか?

2 要素認証 (2FA)

まず、2019 年の記事は、Microsoft の Alex Weinert によって書かれています。彼は次のように述べています… “私たちの調査によると、MFA を使用すると、アカウントが侵害される可能性は 99.9% 以上低くなります。」。

Alex はこれを MFA (多要素認証) と呼び、Google はこれを 2SV と呼んでいます。 (2 段階認証) ですが、それらはすべてまったく同じことを意味します。つまり、複数の手段で身元を証明するということです。

パスワードは常に必要ですが、もちろん、それに加えて 2 番目の本人確認手段も必要です。通常は、一意の 6 桁のコードの形式で携帯電話に送信されます。さて、私が過去に 2FA を推奨したとき、ほとんどの場合、携帯電話番号を教えることに懐疑的な人からコメントを受け取りましたが、彼らを責めているとは言えません。ただし、私は少し前に複数のアカウントで 2FA を (携帯電話番号経由で) 設定しましたが、スパムや不要なメッセージ/電話を一度も受信したことはありません。これらのアカウントから連絡を受けるのは、サインインして 2FA が適用されるときだけです。

私の携帯電話は常に所有しており、アクセスは保護されているため、私の意見では、これは非常に危険です。私のアカウントに他の人がアクセスできないようにする安全な方法。私は金融取引に電話や iPad を使用することにいつも抵抗がありましたが、2FA が整備されているので、そのような不安はありません。たとえば、PayPal を通じて支払いを行う場合は、確認コードを入力して続行するように求められます。接続がどれほど安全であっても、そのコードを受信して​​入力できるのは私だけであることを承知の上で、私は喜んで従います。

最後の行:

どうやら 5 月 4 日は世界パスワードデーだったようですが、私は知りませんでした。ただし、今年特に何もしない場合は、できるだけ早く、できるだけ多くのアカウントに 2FA を設定することを検討してください。 2FA、MFA、2SV は、どのように呼ばれても、アカウントを保護するための最良の方法であり、その強度や複雑さに関係なく、パスワードだけよりもはるかに効果的です。

一部のアカウントでは 2FA を提供しています。オプションであるものもあれば、まったくそうでないものもありますが、私の謙虚な意見では、2FA はすべてのオンライン アカウントに必須の要件であるべきです。

Categories: IT Info