- 予測可能なパスワードの習慣が、自動化された大規模なクラックに頼る攻撃者を依然として助けている
- 長さがパスワードの実際の耐性を決定する最も重要な要素である
- 管理者は選択するルールによってパスワードの強度に大きな影響を与える
さらに新たな調査によって、強力なパスワードを考え出すことに関して、私たちは依然としてかなり無力であることが明らかになりました。
Comparitechの報告書では、20億件以上の漏洩パスワードを調査した結果、連続した数字のバリエーションが依然として主流であり、最もよく使われているパスワードの多くは、キーボードの最上段を指でなぞるだけで作られる単純な組み合わせであることが分かりました。
セキュリティの専門家による繰り返しの警告にもかかわらず、「123456」や「admin」、さらには「password」といった予測可能なパスワードが依然として最も頻繁に使われる認証情報の中に含まれています。
ユーザーの多くは一般的なテンプレートを流用している
報告書によると、Aa123456やAa@123456のような一見改良されたバージョンも頻繁に見られ、依然として非常に予測しやすいことから、多くのユーザーが意味のある複雑さや長さを取り入れるのではなく、単に一般的なテンプレートを流用していることが示唆されています。
研究者たちは、根本的な問題は多くの人が覚えやすい短いパスワードを選ぶことであり、それが同時に簡単に突破されてしまう原因だと述べています。
これらはしばしば数字だけで構成されており、現代のクラックツールによってすぐに破られてしまいます。
漏洩した文字列のかなりの割合に123の連番が含まれており、他にも同様の数字の並びに頼るものが多く見られます。
長さと組み合わせが重要であり、長いパスフレーズは、任意の記号で水増しされた短い文字列よりもはるかに効果的です。
わずかな変更でも違いを生み出すことができ、長いフレーズに予想外の文字を加えることで、推測に必要な時間が飛躍的に増加します。
セキュリティ研究者は、長い構成のほうが、数字や記号の複雑な組み合わせを覚えるのに苦労するユーザーの認知的負担も減らせると指摘しています。
職場環境では、パスワードの強度に対してユーザー自身よりも管理者の影響が大きいです。
組織が最低限のルールしか設けていない場合、従業員は許可された中で最も弱い基準を採用しがちであり、その結果、自動化された攻撃が大規模に悪用できる脆弱性が広がります。
要件が長さや一貫性を重視している場合、たとえ個人が予測しやすい構造に頼っていたとしても、パスワードの品質は必然的に向上します。
文字数の強制的な増加は、総当たり攻撃に必要な計算コストを高め、大規模な侵害をより困難にします。
サポートツールはこうした習慣の転換を助けることができます。専用のパスワードマネージャーは、ユーザーが覚える必要のない長い組み合わせを生成・保存できます。
パスワードジェネレーターもブラウザ内で一部支援を提供しますが、ソフトウェアのアップデートで予期せぬ挙動が生じる場合は信頼性が異なります。
多くのアカウントを管理する企業向けには、ビジネス向けパスワードマネージャーがより体系的な管理を提供します。
これらは管理者が、時代遅れの慣習ではなく、最新のセキュリティ推奨に沿ったルールを適用するのを助けます。
総合的に見ると、最新の調査結果は、根本的な課題が技術的なものではなく行動的なものであることを示唆しています。残念ながらユーザーは安全性よりも手軽さを選び続け、攻撃者はその選択をますます効率的なクラック手法で悪用し続けているのです。
