ENISA 安全なユーザ認証のヒント
こんにちは、丸山満彦です。
ENISAが安全なユーザ認証のヒントを公表しています。当たり前のようなことですが、それだけに参考になりますね。
● ENISA
・2020.06.04 (NEWS) Tips for secure user authentication
In an era of large-scale data breaches, The European Union Agency for Cybersecurity shares its recommendations for improving the security of passwords and authentication methods.
以下、抄訳です・・・
パスワードに関するリスク
- なりすました偽ページに認証情報を入力させるフィッシングようなソーシャル・エンジニアリング攻撃、ボイス・フィッシング(ビッシング)、ショルダー・サーフィン(ノートパソコンでパスワードを入力している人の後ろを覗き見るなど)、ポストイット・ノートから手書きのパスワードを盗むなど。
- ソフトウェアや物理的なキーロガーを使ったパスワード窃盗。
- 通信傍受、偽のアクセスポイントの利用、ネットワークレベルでの中間者攻撃の利用による窃盗。ホテル、カフェ、空港などの公衆WiFi利用時には注意。
- ブルートフォース攻撃、辞書攻撃、パスワード推測する攻撃。
- 窃盗したデータから直接パスワードを取得し、他のサービスを利用する。
推奨される対策
- 多要素認証機能の利用
- パスワードを再利用しない。
- シングルサインオン機能と多要素認証を組み合わせた使用(アカウント漏洩のリスクを減らすため)。
- パスワードマネージャーの利用。
- 個々のウェブサイトやサービスごとに、強力でユニークなパスワードやパスフレーズを生成します。(このような場合には、パスワードマネージャが便利)
- 既存のデータ侵害に該当するアカウントがないかどうかを確認し、特定されたサービスのパスワードを変更してすぐに対応する。
- パスワードのリマインダー機能を利用する場合、簡単に取得できる個人情報に頼ってパスワードをリセットしないようにする。
- 公共のWiFiからアクセスする際には、VPNを利用するか、モバイルアクセスポイントを利用する。
- 公共スペースでは、周囲に気を配り、パスワードを盗み見ようとする人がいないことを確認する。(画面フィルターの利用が便利)。
- 公共スペースでは、デバイスを放置したり、ロックを解除したりしない
Comments