すべてのオンライン アカウントに強力で固有のパスワードを作成する必要があるというアドバイスを、おそらく何度も聞いたことがあるでしょう。しかし、かなりの数の人が依然として電子メール、銀行ログイン、電子商取引アカウントに「12345」、「パスワード」、「qwerty」を使用しています。
デジタル セキュリティに対するこのアプローチには多くの問題があり、その 1 つは、クレデンシャル スタッフィング攻撃によって個人データがアクセスされるリスクです。クレデンシャル スタッフィングは、サイバー犯罪者が過去のデータ侵害で盗んだログイン情報を取得し、それを使用して組織的に他のアカウントへの侵入を試みるブルート フォース ハッキングの一種です。
- 超安全なパスワードを作成して記憶する方法
- ログインを正確に保つための最高のパスワード マネージャー
- パスワードを決して再利用してはいけない理由
データによると、米国では1 時間あたり 360 万件のクレデンシャル スタッフィング攻撃が発生しています。成功率は非常に低いですが(新しいタブで開きます)、膨大な量の試行が行われるため、多くの個人情報が侵害されることになります。さらに、ランダムな推測に依存する従来のブルート フォース攻撃とは異なり、クレデンシャル スタッフィングは、人々がすでに盗んだパスワードを再利用するという事実を利用します。
では、パスワードを保護するにはどうすればよいでしょうか?
固有のパスワードを使用する
真剣に。80% 以上の人が複数の Web サイトで 1 つのパスワードを使用していますが、パスワードを再利用すると、クレデンシャル スタッフィングの被害に遭うリスクが高くなります。これにより、個人データが危険にさらされ、経済的損失や個人情報の盗難が発生する可能性が高まります。
カリフォルニア州のデータセキュリティ会社XYPROの最高情報セキュリティ責任者、スティーブ・チャーチアン氏は、「人間の本性は、自分にとって物事を楽にしようとするものである」と語った。「私たちは不便になるのが好きではありません。私たちは速いのが好きで、早いのが好きです。したがって、ほとんどのユーザーは、Web サイトへのほぼすべてのアクセスに同じまたは類似したユーザー名とパスワードの組み合わせを使用しています。」
ユーザー名とパスワードの組み合わせを混同するもう 1 つの方法は、ログインごとに同じ電子メールを使用するのではなく、複数の電子メール アドレスを使用することです。ただし、これを行うために複数の電子メール アカウントを設定する必要はありません。
Gmail と Microsoft Office 365 では、この目的に「プラス」電子メール アドレスを使用できます。したがって、ジョン スミスは、「[email protected]」で Amazon にサインアップし、「[email protected]」で Facebook にサインアップできますが、各アドレスに送信されたメッセージは、 [email protected]。
パスワードを強化する
各アカウントに一意の認証情報を作成するときは、パスワードが簡単に解読されないように注意してください。最も安全なパスワードは長くて複雑なため、推測が難しくなります。対照的に、覚えやすいパスワードは、たとえ一意であっても非常に脆弱です。
パスワードをより安全にするためのいくつかの方法を次に示します。
- 各パスワードの長さは 15 文字以上にしてください。
- 小文字、大文字、数字、句読点を使用してください。
- 実際の言葉や名前やメール アドレスの一部は避けてください。
- 生年月日やペットの名前など、ソーシャル メディアで見つけられる情報を使用しないでください。
パスワードマネージャーを使用する
多くの長くて複雑なログインを自分の記憶に頼っている場合は、当然、いくつかの短くて単純なパスワードをデフォルトで使用する可能性が高くなります。幸いなことに、解決策はあります。
最高のパスワード マネージャーは、新しいアカウント用に強力で固有のパスワードを生成し、パスワードを記憶し、資格情報を再利用しているときやデータ侵害で情報が漏洩したかどうかを通知します。
パスワード マネージャーは、PC、Mac、スマートフォンなどの複数のデバイス間でも同期します。あなたがしなければならないのは、マスターパスワードを覚えておくこと(またはFace IDなどの生体認証を有効にすること)だけです。
これは、ブラウザにパスワードを記憶させるよりも安全です。たとえば、Chrome が Apple キーチェーンを使用している Mac では、サイバー犯罪者が Gmail のパスワードを入手すると、あらゆるものにアクセスできる可能性があります。
多要素認証を有効にする
多要素認証 (MFA) は、新しいデバイスまたは新しい場所からアカウントにログインするときに、パスワード以外の何かで ID を確認することを要求することにより、セキュリティ層を追加します。このセカンダリ キーがなければ、ハッカーはパスワードを知っていても侵入できません。オプションである場合は常に MFA または 2FA を有効にします。
セキュリティの専門家であり、ニューヨークの PWV Consultants の創設者である Pieter VanIperen 氏は、これらのキーは資格情報のスタッフィングをブロックできると説明しています。「パスワードは、たとえパスワードを購入して推測する必要がなかったとしても、隣に届くだけだからです。」
一般的な認証の 2 番目の要素には、テキストまたはアプリ経由で携帯電話に送信される一時的なパスコードが含まれます。これは安全であるように見えますが、何もしないよりは良いかもしれませんが、犯罪者にとって SMS を傍受したり、あなたの電話番号を自分の SIM カードに 転送したりするのはそれほど難しいことではありません。
より良いオプションには、認証アプリ ( Google Authenticator はほとんどの主要サービスで動作します) やYubiKeyやGoogle Titanなどの物理セキュリティ キーが含まれます。
注意: 積極的にログインしていないアカウントを認証するための通知を受け取っている場合は、他の誰かがあなたの情報にアクセスしようとしている可能性があります。
公的データ侵害を監視する
セキュリティに関するニュースに常に注意して、情報がいつ侵害される可能性があるかを把握してください。次に、 https://haveibeenpwned.com/ (新しいタブで開きます)に電子メールを入力して、データが公的データ侵害で漏洩していないかどうかを確認します。
結論
データ侵害や認証情報の詰め込みを完全に回避することはできないかもしれませんが、サイバー犯罪者がアカウントへのハッキングに成功する可能性を最小限に抑えることはできます。