アカウントを守るために強力で複雑なパスワードを使うよう、何度促されても、多くの人は理解できません。しかも、これは一般のウェブサイトユーザーや従業員に限った話ではありません。パスワード管理ツールNordPassが火曜日に発表したレポートでは、経営幹部や経営者でさえ、想像を絶するほど安全とは言えないパスワードを使ってアカウントを守ろうとしていることが検証されています。
NordPassは、「経営幹部が使用する主なパスワード」レポートのために、独立系研究者と協力し、世界中で2億9000万件以上のデータ侵害で漏洩したパスワードのリストを作成しました。この調査では、CEO、経営幹部、経営者、管理職のパスワードに焦点を当てているため、パスワードは役職と業種に基づいて分類されています。
常に人気があり、かつ脆弱な「123456」は、リストの中で最も多く使われたパスワードとしてトップに立ち、100万回以上見られました。「password」は4つの異なる役割の種類の中で2位となり、70万回以上見られました。そこから、役職ごとにリストは分かれていきました。
「12345」は、CEOや経営幹部のパスワードでは3番目に多く、事業主や管理職のパスワードでは4番目に多く使われました。次に「123456789」は、CEOや経営幹部のパスワードでは4番目に多く、事業主や管理職のパスワードでは3番目に多く使われました。
トップ5の最後を飾るのは、入力は簡単だが簡単に盗まれやすい「qwerty」で、CEOおよび経営幹部の間では5位にランクインしました。「1234」は経営者の間で5位、「Password」(大文字のP)は管理職の間で5位でした。その他のパスワードの上位には、「qwerty123」、「1q2w3e」、「111111」、「abc123」、「123123」などが挙げられました。
しかし、パスワードとしてよく使われる文字や数字は、単に入力しやすく覚えやすいというだけではありませんでした。多くの経営幹部、管理職、そして経営者は、人気のある名前に目を向けました。
パスワードとして最も多く使われた名前は「ティファニー」と「チャーリー」でした。しかし、「ミシェル」「アシュリー」「ジェニファー」も独自の地位を築いています。また、「マイケル」と「ジョーダン」もリストに名を連ねており、これはバスケットボールファンでもあるビジネスエグゼクティブが採用している可能性が高いでしょう。実在の動物も空想上の動物もパスワードに加わり、「ドラゴン」や「モンキー」といった名前が使われています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
発見されたパスワードの多くは笑ってしまうほど脆弱なものでしたが、そのようなパスワードを使用することで生じる結果は笑い事ではありません。データ漏洩が発生した場合、ハッカーはブルートフォース攻撃ツールを使って1秒もかからずにこれらのパスワードを入手し、アカウント乗っ取りや不正アクセスの危険に晒される可能性があります。さらに、幹部が脆弱なパスワードを使用している場合、その危険性はさらに高まります。なぜなら、そのようなアカウントは機密データや独自データのロックを解除する鍵となる可能性があるからです。
ビジネスを安全に保つためのヒント
弱いパスワードや単純なパスワードの危険から組織を保護するために、NordPass はいくつかのヒントを提供しています。
パスワードマネージャーを使いましょう。各アカウントに強力で固有のパスワードを作成し、記憶するのは、誰かの助けなしには不可能です。パスワードマネージャーは、すべてのアカウントに複雑なパスワードを作成、保存、適用します。主要なパスワードマネージャーのほとんどは、ビジネス版またはエンタープライズ版が用意されており、組織は全従業員向けに導入・管理できます。
サイバーセキュリティ研修の実施を強調しましょう。脆弱なパスワードやその他のミスはデータ漏洩につながる可能性があるため、全従業員に適切なセキュリティ研修を実施しましょう。ユーザーアカウントだけでなく企業データも保護するために、強力なパスワードを使用することの重要性を強調しましょう。
多要素認証を導入しましょう。MFAは重要な保護層を追加します。アカウントのパスワードが漏洩または盗難された場合でも、モバイルデバイスまたはセキュリティキーによる2つ目の認証方法がなければ、攻撃者はそのパスワードを使用してサインインすることはできません。
