ほぼ毎年、Microsoftは、パスワードを完全に段階的に廃止し、パスワードなしのログインや多要素認証(MFA)などの最新の認証形式に移行する必要性を強調するブログ投稿を公開しています。今年のWorldPasswordDayに、同社はこの移行についての記事を再び書き、顧客にパスワードを完全に放棄するように促しました。
ブログ投稿で、セキュリティ、コンプライアンス、アイデンティティ、ガバナンスのマイクロソフトコーポレートバイスプレジデントであるVasu Jakkalは、パスワードが攻撃者にとって最も一般的な攻撃対象領域であり、毎秒921回の試行が行われ、昨年の2倍の割合であると述べています。さらに、特に異種環境で作業している場合、パスワードを覚えて追跡することは困難です。
昨年、レドモンドを拠点とする技術大手は、Microsoftアカウントからパスワードを削除する機能を開始しました。また、昨日、FIDOAllianceおよびWorldWide Web Consortiumを通じてGoogleおよびAppleと提携し、共通のパスワードなしの標準を開発および維持しました。
現在のところ、Microsoftは、パスワードを完全に破棄し、代わりにWindows Hello、セキュリティキー、およびMicrosoftAuthenticatorアプリによる多要素認証とパスワードなし認証を使用することをお客様に推奨しています。
ただし、近い将来にパスワードを引き続き使用する場合は、 Microsoft Edgeのパスワードジェネレータを使用することをお勧めします。また、新しいパスワードを設定する場合は、次の基準を使用することをお勧めします。
- 少なくとも12文字
- 大文字と小文字、数字、記号の組み合わせ
- 辞書に載っている単語や、人、製品、組織の名前ではありません。
- 以前のパスワードとは完全に異なります
- 侵害された可能性があると思われる場合は、すぐに変更されます
上記のリストの3番目のヒントは非常に興味深いものです。昨年、英国政府は実際に、ランダムであるが実際の3つの単語を組み合わせたパスワードの使用を人々に奨励したからです。マイクロソフトが推奨するもう1つの興味深いアプローチは、攻撃を防ぐために、トピックに関係のないセキュリティの質問に答えることです。たとえば、生まれた場所に関するセキュリティの質問については、「グリーン」と答えることができます。これにより、攻撃者が基本情報の一部にアクセスした場合でも、セキュリティの質問に答えることができなくなる可能性があります。ただし、このアプローチの複雑さは、トピックに関係のない回答を覚えていることにも起因します。
全体として、Microsoftは、パスワードなしのサインインがまもなく標準になることを繰り返し表明しているため、この新しい現実に今すぐ適応し始めるのが最善です。
コメントを残す