« NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 | Main | ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開 »

2020.06.11

ENISA 安全なユーザ認証のヒント

こんにちは、丸山満彦です。

ENISAが安全なユーザ認証のヒントを公表しています。当たり前のようなことですが、それだけに参考になりますね。

ENISA

・2020.06.04 (NEWS) Tips for secure user authentication

In an era of large-scale data breaches, The European Union Agency for Cybersecurity shares its recommendations for improving the security of passwords and authentication methods.

 

以下、抄訳です・・・

パスワードに関するリスク

  1. なりすました偽ページに認証情報を入力させるフィッシングようなソーシャル・エンジニアリング攻撃、ボイス・フィッシング(ビッシング)、ショルダー・サーフィン(ノートパソコンでパスワードを入力している人の後ろを覗き見るなど)、ポストイット・ノートから手書きのパスワードを盗むなど。
  2. ソフトウェアや物理的なキーロガーを使ったパスワード窃盗。
  3. 通信傍受、偽のアクセスポイントの利用、ネットワークレベルでの中間者攻撃の利用による窃盗。ホテル、カフェ、空港などの公衆WiFi利用時には注意。
  4. ブルートフォース攻撃、辞書攻撃、パスワード推測する攻撃。
  5. 窃盗したデータから直接パスワードを取得し、他のサービスを利用する。

 

推奨される対策

  1. 多要素認証機能の利用
  2. パスワードを再利用しない。
  3. シングルサインオン機能と多要素認証を組み合わせた使用(アカウント漏洩のリスクを減らすため)。
  4. パスワードマネージャーの利用。
  5. 個々のウェブサイトやサービスごとに、強力でユニークなパスワードやパスフレーズを生成します。(このような場合には、パスワードマネージャが便利)
  6. 既存のデータ侵害に該当するアカウントがないかどうかを確認し、特定されたサービスのパスワードを変更してすぐに対応する。
  7. パスワードのリマインダー機能を利用する場合、簡単に取得できる個人情報に頼ってパスワードをリセットしないようにする。
  8. 公共のWiFiからアクセスする際には、VPNを利用するか、モバイルアクセスポイントを利用する。
  9. 公共スペースでは、周囲に気を配り、パスワードを盗み見ようとする人がいないことを確認する。(画面フィルターの利用が便利)。
  10. 公共スペースでは、デバイスを放置したり、ロックを解除したりしない

 

|

« NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 | Main | ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開 »

Comments

Post a comment



(Not displayed with comment.)




« NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 | Main | ENISA サイバーセキュリティインシデントの原因を視覚的にわかりやすく表示するツールの公開 »