パスワード漏洩を防ぐための戦術

トピック

Security

オンラインパスワードチェッカーは、パスワードが漏洩/侵害されたときに通知することで、パスワードを保護するのに役立ちます。その後、すべてのパスワードを変更するなど、重要な手順を踏んで、アイデンティティと個人情報を保護できます。

漏洩したパスワードの蔓延

データ漏洩やパスワードのハッキングが定期的にニュースになる中、自分自身や勤務先の組織にとって、パスワードの安全性にどのようにアプローチすればよいのか疑問に思うかもしれません。

ハッカーがEメール、ソーシャルメディア、さらには医療アカウントや銀行アカウントのパスワードを取得すると、他の多くの重要な情報やアイデンティティを盗むことができます。機関のパスワードが盗まれると、会社概要は盗難に対して脆弱になり、他の従業員はパスワード侵害やアイデンティティの盗難に対して脆弱になります。

私たちの生活の多くの部分にはオンラインスペースが関係しており、これには1日に数十の異なるWebサイトでパスワードを使用することが含まれます。これは、世界中の何十億人ものユーザーにわたる数十億のログイン詳細に相当します。

毎年何百ものウェブサイトがハッキング攻撃の対象となっており、盗まれたアカウントの詳細は闇市場やダークウェブで販売されています。残念ながら、ハッキングされたことを知らないかもしれません。会社概要がデータ侵害の被害を受けた場合、ITについて数か月または永遠に沈黙している可能性があります。

パスワード侵害の履歴を理解する

ほとんどの組織は、デジタルおよびオンラインのテクノロジーを使用して従業員、ユーザー/顧客、および情報をつなげているため、ほとんどすべての組織がパスワード漏洩などのデータ漏洩に対して脆弱です。テクノロジー、小売、医療、金融、政府機関は、少なくとも2004年以降、パスワード漏洩などのサイバー攻撃の被害に遭っています。実際、2011年以降、ユーザー名だけで80億件近くが流出しています。

これらの主要なデータ漏洩は、パスワードの漏洩につながっています。

2011年:ソニー
2012年:LinkedIn、Yahoo、DropBox
2013年:Tumblr、アドビ、エバイト
2014年:ランブラー、ドミノ
2015年:アシュレイ・マディソン、クリアボイスシステム、R2Games
2016年:アダルトフレンドファインダー、LiveJournal、Youku
2017年:リバーシティメディア、エドモンド、ゾマト、マイヘリテージ
2018年:MyFitnessPal、Houzz、Ticketfly、Shein
2019年:VerificationsIO、CafePress、LuminPDF、Canva、Facebook、Zynga、PDL
2020年:ミント、ワットパッド

2019年の最初の6か月だけで、データ漏洩は40億件のレコード(通常はE メールアドレスとパスワードを含む)を公開しました。これらのハッキングはますます頻繁になり、ハッカーは大規模な漏洩からデータを集約し始め、パスワードを公開したり、オンラインで販売したりしています。

2017年に発生した悪名高いExperianの侵害事件では、社会保障番号、住所、生年月日が流出し、IT部門が簡単にアイデンティティを盗まれることになったことを覚えている人も多いでしょう。

2021年は、これまでで最悪のデータ漏洩が発生しました。 LinkedInは4月に侵害を受け、ハッカーは5億のプロファイルをスクレイピングし、証拠として200万のプロファイルの情報を漏洩したと述べました。Facebookは、4月に5億3000万人のITユーザーに影響を与えたハッキングをほとんど報告しておらず、スクレイピングされた情報は2019年のものでしたが、多くのユーザー名やパスワードが2年後に役立つ可能性があります。

2021年の半ば、インターネット史上最悪のパスワード漏洩が発生しました。RockYou2021と呼ばれるこのファイルは、2009年に発生した悪名高いRock Youデータ侵害にちなんで付けられたと思われるもので、暗号化されていないパスワードのファイルが6月に人気のハッカーフォーラムに投稿されました。ポスターのクレームは、ファイルには820億のパスワードが含まれ、ドキュメントITには84億のエントリがあり、プレーンテキストファイルだけで100GBの重さがあります。非ASCII文字と空白は削除されました。

ファイルに約束された820億ではなく、84億の個別のパスワードしか含まれていない場合でも、世界には50億人のインターネットユーザーしかいないため、ファイルはすべての人の少なくとも1つのパスワードをカバーしています。

その年の10月までに、多くのパスワードチェッカーがRockYou2021ファイルのほとんどで情報を更新したため、CyberNewsの個人データリークチェッカーのような無料のチェッカーをオンラインで使用できます。しかし、データ漏洩やこのような編集物が大規模で頻繁に行われるようになると、人々はそれらに対して鈍感になり、パスワードが漏洩していないか確認することさえできなくなる可能性があります。

あなたが個人である場合、漏洩/侵害されたと思い込み、パスワードとユーザー名を定期的に変更するプロセスを経るかもしれません。ビジネスの観点から見ると、 IT マネージャーは、従業員のパスワードを確認し、システムを安全に保つためのプロセスを導入する必要があります。

ハッキングされたかどうかはどうすればわかりますか?

ほとんどの主要な会社概要とそのアソシエイトWebサイトは、ユーザーのパスワードと情報を暗号化するため、データ侵害が発生した場合、IT部門はハッカーがこれらの情報を解読するのがはるかに困難になり、ユーザーがパスワードを更新したり、データを保護するための他の手順を踏んだりする時間を確保できます。ただし、パスワードを漏洩から安全に保つために、独自の手順を実行する必要があります。

大規模な会社概要では、IT部門がユーザーや顧客がデータ侵害の被害者であることに気づくまでに数か月かかることがあり、それでもハッキングについて各ユーザーに直接伝えないことがあります。それどころか、彼らはプレスリリースを書くかもしれませんが、それはすぐにはわからないかもしれません。あなたやあなたの会社概要がデータ侵害の被害者であることを知る最悪の方法は、あなたのアイデンティティが盗まれたことを発見することです。

クレジットスコアがランダムに変化することに気付くかもしれません。Facebook、Twitter、Instagram、WhatsApp、または電子メールでランダムなメッセージを受け取り始める場合があります。友人があなたのソーシャルメディアに異常な投稿があることに気づいたためにあなたに連絡するかもしれません。ハッカーがパスワードとユーザー名を変更すると、自分のアカウントからロックアウトされる可能性があります。

あなたの個人データは身代金のために保持される可能性があります。または、医療施設のように会社概要にますます発生するように、患者、ユーザー、または顧客のデータが身代金のために保持されます。何よりも恐ろしいのは、あなたが経済的な問題に苦しむかもしれないということです。税金の還付を失ったり、ローンを拒否されたり、銀行のアカウントからお金が引き出されたりする可能性があります。

パスワードが漏洩していないか確認する方法

最悪の事態が起こるのを待つのではなく、自分でオンラインパスワードチェッカーを使用できます。Norton Antivirus、Kaspersky、Avastなどの主要な会社概要パスワードを確認するためのオプションを無料またはサブスクライバーに提供しています。これらのウイルス対策ソフトウェアプログラムの多くに加入しているユーザーは、プログラムが疑わしいアカウントアクティビティに気付いたときにも通知を受けることがあります。

これらの会社概要は、パスワード侵害のデータベースを保持し、ログインの詳細をこの情報と比較します。パスワードが表示された場合は、通知されますので、個人または会社概要セキュリティが漏洩/侵害される前にパスワードを変更することができます。

あなたのE メールまたはパスワードが漏洩または侵害で「pwned」されたかどうかを確認するための無料のオプションは、Webサイト「Have I Been Pwned?」です。このサイトは、マイクロソフトのリージョナルディレクターである Troy Hunt によって作成され、少なくとも過去 10 年間にわたる侵害のデータを使用して、重大なセキュリティリークの被害を受けた特定の会社概要にお客様の情報を関連付けています。ただし、このサイトは、ビジネスではなく、個々のインターネットユーザー向けに設計されています。

また、ウイルス、ハッキング、パスワード漏洩などのデータ漏洩に対するビジネスや企業の保護を提供している会社もあります。たとえば、SolarWindsは、企業環境の IT マネージャー専用のウォッチリストを保持しており、パスワードや会社概要 E メールアドレスが漏洩またはハッキングされたかどうか、またいつハッキングされたかを監視する必要があります。同社のアイデンティティ監視ソフトウェアには、従業員の既存のパスワードを主要なデータベースと比較し、パスワード漏洩やその他のデータ漏洩につながる可能性のある他の種類の漏洩/侵害を見つけるパスワードチェッカーも提供されています。

パスワードが漏洩した場合の対処方法

残念ながら、パスワードの漏洩やデータ侵害の被害に遭った場合、真剣なハウスキーピングを行う必要があります。

パスワード漏洩後に情報を管理するために取るべき手順は次のとおりです。

E メールやSNS、銀行のアカウント、健康保険など、普段使っているアカウントをすべて見つけて、パスワードをすべて変更しましょう。可能であれば、ユーザー名情報を更新することを検討してください。
Have I Been Pwnedのようなサービスを利用して、どのデータ漏洩があなたに影響を与える可能性があるかを調べると、それらのアカウントの情報を変更したり、使用しなくなったアカウントを削除したりできます。
パスワード管理を利用している場合は、そちらでパスワードを更新してください。
ランダムなパスワードジェネレータを使用して、すべてのアカウントに完全に新しい一意のパスワードを設定することを検討してください。
一部のアカウントはリンクされている可能性があるため(たとえば、EtsyアカウントがFacebook情報をITログイン情報として使用する場合があります)、それらのアカウントのリンクを解除します。
不審なアクティビティがないか定期的にアカウントを確認し、監視サービスへの登録を検討してください。
使用しなくなったサービスのアカウントについて考え、それらのアカウントを閉鎖します。
家族や友人に連絡して、パスワードの漏洩やデータ漏洩、特にあなたに直接影響を与えたものについて知らせてください。

IT部門がパスワード漏洩やその他のデータ漏洩について学ぶのに時間がかかる場合があるため、無料の監視ツールにサインアップすると、個人が自分の情報が安全でなくなったことを知るのに役立ちます。その中でも特に人気があるのは、Googleの「パスワードチェックアップ」とMozillaの「 Firefox 監視」の2つで、これらは拡張されているので、これらの人気ブラウザ用にダウンロードできます。ウイルス対策ソフトウェアには、サブスクリプションサービスへの追加としてパスワードの監視と管理がある可能性があります。

史上最悪のパスワード

Open Sesameや有名な話の同様のフレーズが最悪のパスワードだと思うかもしれませんが、現代では、使い古され、予測可能なパスワードがたくさんあります。

NordPassは、最も一般的で安全性の低いパスワードのいくつかと、それらの使用頻度のリストをまとめたものです。次に例をいくつか示します。

12345
12456
テスト1
パスワード
航空自衛隊
qwertyの
アイロブユー
ダブスマッシュ
王女
陽光
アシュリー
111111
555555
サッカー
家族
マイケル
蹴球
野球
チョコレート
フィットネス
ABC1234
レトマイン
チェンジミー

もちろん、これらのパスワードはすばやく設定でき、覚えやすいです。この魅力は、それらを非常に一般的で、推測しやすく、NordPassの最悪のパスワードリストに一貫してヒットするものとしてマークしています。

これらよりも安全な別のパスワードを作成しても、覚えやすいパスワードを作成すると、データがハッキングされるリスクにさらされる可能性があります。これは、ほとんどの人と同様に、仕事に使用するソフトウェアを含む複数のプログラムで同じパスワードまたは同様のパスワードを使用している場合は、さらに当てはまります。

あなたが IT マネージャーである場合、従業員が上記のパスワードを選択するのを止めることはできません。ただし、自分でいくつかの予防措置を講じ、従業員に個人的な予防措置を講じるように促すことができます。

パスワードセキュリティのベストプラクティス

ある調査によると、4,400万人ものMicrosoftユーザーがパスワードを再利用しており、ハッカーが他のアカウントのパスワードを推測するのがはるかに容易になっています。アカウントが保護されているので、今後、個人データが漏洩/侵害される可能性を減らすために、いくつかの予防策を講じます。

15 文字以上で、大文字と小文字、数字、記号など、さまざまな文字の組み合わせを使用する強力なパスワードを作成します。
パスワードに一般的な置換や、同様のパターンの文字と数字の繰り返しは避けてください。ITは覚えやすいかもしれませんが、ハッカーにとってもITは盗みやすいです。
qwerty のような覚えやすいキーボードパスは使用しないでください。
ランダムパスワードジェネレータを使用すると、完全に一意のパスワードが作成されます。次に、パスワード管理を使用して保存します。これらのマネージャーは、ユーザー側でパスワード情報を暗号化するため、この情報を解読するのが難しくなります。

インターネットの黎明期には、パスワード作成のベストプラクティスにより、文字、数字、記号の予測可能な組み合わせが生まれ、それらは複数のプラットフォームで使用されていました。ハッカーは、1990年代後半から2000年代初頭よりも簡単にこのタイプのパスワードを推測できるツールを手に入れたため、セキュリティ専門家は、独自の安全なパスワードを作成するための推奨事項を改訂しました。

主な推奨事項は次のとおりです。

パスフレーズの方法の改訂: セキュリティ専門家は、ランダムな文字と数字のセットを生成したり、1つのなじみのある単語と一連のなじみのある数字や記号を使用したりするのではなく、一連の単語を選択し、大文字と小文字を含むフレーズを作成することを推奨しています。
一般的でない単語、有名人や場所の名前、他の言語の単語を使用します。例:CeruleanGraciasExcaliber。

ITは、覚えられるように特定のイメージを頭に浮かべるフレーズを作成するのが最善ですが、直接アソシエイトではない単語、特に名前と場所を選択します。
文の方法: 人間は通常、ナンセンスなフレーズよりも文章を覚えやすいと感じています。なぜなら、文章は順番にイメージを思い浮かべやすいからです。ソフトウェアプログラムや人工知能は、文章中のパスワードを解読するのが難しくなっています。
この方法を使用する一般的なアプローチの 1 つは、文を作成し、各単語の最初の 2 文字を使用して新しいパスワードを作成することです。たとえば、「素早い茶色のキツネが怠惰な犬を飛び越えた」という文があるとします。したがって、パスワードは ThQuBrFoJuOvThLaDo になります。
多要素認証 (MFA):これは、一意のパスワードを作成するだけでなく、保護の積み重ねる追加です。最も一般的な MFA フォームの1つは、ランダムに生成されたPINを含むテキストメッセージでしたが、ハッカーは現在、この方法をフィッシングとして使用したり、この情報を傍受してITを使用してサイトにハッキングしたりできます。
これに対して、 Okta のような認証者は、数秒ごとに一意のPINを生成することができ、手動で入力するか、サイトに直接リンクして、実際に本人であることを確認することができます。あなたやあなたのユーザーが強力なパスワードを持っていない場合でも、認証者プログラムを効果的に MFA することで、パスワードが漏洩するリスクを減らすことができます。

パスワード漏洩の防止

これらは、実行すべきその他の重要なセキュリティ手順です。

高品質のインターネットセキュリティソフトウェアをインストールしますが、これは多くの場合、ウイルス対策ソフトウェアとアソシエイトです。
ソフトウェアの自動更新を許可して、コンピュータを最新のセキュリティパッチで更新したり、定期的に更新を確認したりします。
URLにSSL(Secure Sockets 積み重ねる)証明書がないサイトは信用しないでください。安全なサイトはHTTPSですが、安全でないサイトはHTTPです。
公共のWi-FiでVPNを使用します。
テキストやEメールでパスワードを誰かに送らないでください。
ウイルス対策プログラムを最新の状態に保ちます。
不審なEメールやテキストメッセージを開かないでください、特にパスワードを求められた場合は。
Eメールまたはテキストメッセージでパスワードを求めるメールを受け取った場合は、Eメールではなく、サイトにアクセスしてパスワードを変更することを検討してください。

あなたが会社概要の IT マネージャーである場合、パスワード漏洩などのデータ侵害のリスクを軽減するために取るべき4つの基本的なステップがあります。

安全でないパスワードやデータトラフィックなど、潜在的な脅威を特定します。
外部デバイスに対して認証とアクセス要求の2つの要素を使用するセキュアアプリケーション(アプリケーション)環境。他のベンダーのセキュリティプロトコルを確認せずに、他のベンダーのサービスを使用しないでください。
ハッキングのイベントで回復メカニズムを設定します。
将来のコンプライアンスを可能にする保証プログラムを構築し、会社概要レジリエンス。

あなたの情報が永遠に保護されるわけではありませんが、基本的な予防措置を講じることで、情報を可能な限り安全に保つことができます。複数の側面からのパスワード暗号化は、大規模なセキュリティ漏洩の後でも、ハッカーをデータから遠ざけるための最良の方法です。