パスワード ポリシーとは何ですか? また、その作成方法は?

公開: 2023-01-26

侵害されたパスワードは、データ侵害の主な原因です。 実際、ハッキング関連の侵害の 80% 以上は、パスワード関連の問題が原因です。 強力なパスワード ポリシーは、社内の全員が強力なパスワードを使用できるようにするのに役立ちます。

では、パスワード ポリシーとは何でしょうか。 標準のパスワード ポリシーを作成するにはどうすればよいですか? また、パスワード ポリシーのベスト プラクティスとは何ですか? 以下で調べてみましょう。

パスワード ポリシーとは

パスワード ポリシーは、社内の全員が強力なパスワードを作成し、それらを適切に使用してコンピュータ セキュリティとオンライン セキュリティを強化するための一連のガイドラインです。

標準のパスワード ポリシーには、ユーザーがパスワードを作成、変更、保存、または共有する際に考慮すべきことと避けるべきことが含まれています。

たとえば、パスワード ポリシーにより、ユーザーは一定数の特殊文字を含む長いパスワードを作成する必要があると規定できます。

組織のニーズに応じて、パスワード ポリシーを推奨または必須にすることができます。

パスワード ポリシーが重要な理由

パスワード ポリシーは、パスワードのセキュリティを強化するために、ビジネスで強力で一意のパスワードを使用する慣行を強化するのに役立ちます。

強力なパスワード セキュリティ ポリシーを実装することがビジネスにとって重要である主な理由は次のとおりです。

  • パスワードの再利用はセキュリティ上の失敗です。 パスワード ポリシーにより、パスワードの再利用をすばやく排除できます
  • 多要素認証条項を備えた強力なパスワード ポリシーにより、さまざまなセキュリティ リスクを大幅に最小限に抑えることができます。
  • 社内の誰もが複雑なパスワードを作成し、安全に保管するようになります。 その結果、パスワードはブルート フォース攻撃やその他のパスワード関連の攻撃から保護されます。
  • 強力なパスワード ポリシーは、パスワードを保護するために厳格な手段を講じていることを顧客やベンダーに知らせます。 これは、彼らとの信頼関係を築くのに役立ちます

最後になりましたが、パスワード ポリシーは、中小企業がさまざまな種類のサイバーセキュリティ攻撃の標的になりつつある今日の世界で最も重要なサイバーセキュリティ文化を育みます。

パスワード ポリシー

標準パスワード ポリシーを作成する方法

以下は、強力なパスワード ポリシーを作成するための段階的なプロセスです。

1.パスワードの複雑さの要件を設定する

システム管理者または IT 部門は、パスワードの複雑さに関するガイドラインを設定して、強力なパスワードを確実に作成する必要があります。

ユーザーが脆弱なパスワードを作成しないようにするために、パスワード ポリシーに含める必要がある必須のパスワード要件を次に示します。

  • パスワードは 10 文字以上にする必要があります (長いほど良い)
  • ユーザーは、パスワードに大文字、小文字、および特殊文字を含める必要があります
  • スペルミスのある単語を含めることは、複雑なパスワードを作成するための優れた戦術です

ブルート フォース攻撃と辞書攻撃は、単純なパスワードを破ることができます。 そのため、パスワード ポリシーには複雑な要件を盛り込んで、ユーザーがハッカーに強いパスワードを作成するよう促す必要があります。

2. パスワード拒否リストを作成する

パスワード ポリシーには、ユーザーがすべきことだけでなく、ユーザーがパスワードを作成するときに避けるべきことも記載する必要があります。

パスワード拒否リストには、次のものを含めることができます。

  • 氏名、生年月日、出生地、役職等の個人に関する情報
  • 電話番号、番地、番地
  • 配偶者、子供、または愛する人の名前
  • 複数のアカウントで同じパスワードを再利用する

経験則として、パスワード ポリシーの拒否リストには、あらゆる種類の個人情報または単純なパターン (QWERTY から 123456 など) を含める必要があります。

3.パスワードの有効期限を設定する

パスワードの有効期限を設定する主な目的は、ハッカーが以前のデータ侵害で見つけたパスワードが機能するかどうかわからないということです。

たとえば、パスワードが 2 か月前のデータ侵害インシデントで開示されたとします。 また、毎月パスワードを変更します。 ハッカーは、漏洩したパスワードを使用してアカウントにアクセスすることはできません。

理想的には、パスワードの有効期間は 3 か月に設定する必要があります。 ただし、ビジネスの必要性に応じて、この期間を調整できます。 また、従業員が他のアカウントに同じパスワードを再利用しないようにする必要があります。

4.多要素認証を強制する

多要素認証 (MFA) は、ビジネスのアカウントのセキュリティを強化できます。 これは、ハッカーがそれらのアカウントのログインとパスワードを手に入れたとしても、アカウントへのアクセスを取得できないためです。

したがって、パスワード ポリシーでは、ユーザーがこの機能を許可するすべてのアカウントに MFA を実装することを必須にする必要があります。

5. アカウント ロックアウトのしきい値を含める

アカウント ロックアウトのしきい値を設定すると、ログイン試行が一定回数失敗すると、ユーザー アカウントがロックされます。 この機能は、ブルート フォース攻撃や辞書攻撃からアカウントを保護します。

理想的には、アカウント ロックアウトのしきい値を 5 回のログイン試行失敗に設定できます。 これには、15 分間のアカウント ロックアウト期間の実装が含まれます。

6. パスワードの保存方法に関するガイドラインを用意する

従業員の 55% がパスワードを付箋に保存していることをご存知ですか? 従業員がパスワードをどのように保存するかは、パスワードのセキュリティに影響します。

パスワードを電子メール、電話のメモ アプリ、紙のメモ、コンピューターのドキュメントに保存することは、悪い習慣です。 また、パスワードが長くて複雑であっても、パスワードのセキュリティが低下します。

したがって、パスワード セキュリティ ポリシーには、パスワードを安全に保存するための明確なガイドラインを含める必要があります。 そのための 1 つの方法は、パスワード マネージャーを使用することです。パスワード マネージャーは、パスワードを暗号化し、マスター パスワードの背後に安全に保管します。

最近のほとんどのブラウザーにはパスワードを保存する機能がありますが、パスワード マネージャーを使用してパスワードを保存する方が安全なオプションです。 パスワード マネージャーは、さまざまなユーザー間でパスワードを共有するための安全な方法も提供します。

7. ポリシー違反者に結果を設定する

コンピュータとオンライン アカウントを保護するためのパスワード セキュリティ ポリシーを作成しました。 ですから、誰もが宗教的に従うべきです。 ポリシーに頻繁に違反するユーザーに何らかの結果を与えることは、すべてのユーザーにパスワード ポリシーを順守するよう促す良い考えです。

ただし、パスワード ポリシー違反者に間違いを犯したと思わせるための独創的な方法を考案する必要があります。 厳しい罰は、彼らを内部の脅威に変える可能性があります。

ポリシー違反者には、より多くの意識向上トレーニング セッションを提供し、パスワード ポリシーに従うよう奨励します。 しかし、多くの警告にもかかわらず誰かが繰り返し間違いを犯している場合は、ビジネスを危険にさらしているため、彼らを手放すことが最善の選択肢になる可能性があります。

8. パスワード ポリシーを定期的に更新する

パスワード ポリシーは、決まったものであってはなりません。 代わりに、パスワード ポリシーを時々見直して、それが成功しているかどうかを確認する必要があります。

  • ユーザーが長くて複雑なパスワードを作成できるようにする
  • ユーザーがハッキングされやすい新しいパスワードを作成できないようにする
  • ポリシーで推奨されているように、パスワードを頻繁に変更するようユーザーに奨励する
  • ユーザーが複数のアカウントに同じパスワードを使用できないようにする

定期的なパスワード監査で行われた観察に合わせてパスワード ポリシーを微調整することで、堅牢なパスワード ポリシーを作成し、ビジネスのパスワード セキュリティを強化できます。

パスワード ポリシーのベスト プラクティス

パスワード ポリシーを最大限に活用するためのベスト プラクティスは次のとおりです。

1. アクセスしやすいパスワード ポリシーを用意する

ポリシー ガイドブックは、ユーザーがパスワードの作成やパスワードの保存などのさまざまなセクションを簡単に移動できるように構成する必要があります。

パスワード ポリシーのハード コピーとソフト コピーの両方を用意して、ユーザーが希望する方法でアクセスできるようにします。

2. パスワード管理システムを採用する

ポリシーにパスワード マネージャーの使用を義務付けることで、パスワード セキュリティを大幅に強化できます。 どのように?

最近、従業員は複数のパスワードを作成する必要があります。 また、アカウントごとに一意のパスワードを作成することは、多くのユーザーにとって問題になる可能性があります。 パスワード マネージャーは、簡単に解読できるパスワードを即座に作成し、複数のパスワードを安全に保存できます。

3. 安全でないパスワードの共有を禁止する

ユーザー間でパスワードを共有することは、複数の従業員が 1 つのプロジェクトで作業する今日のビジネス環境では一般的な方法です。

パスワードのセキュリティを向上させるには、テキスト メッセージ、電子メール、またはインスタント メッセージを介してパスワードを共有しないようにする必要があります。 パスワードのセキュリティを向上させるには、安全なパスワード共有が不可欠です。 評判の高いパスワード マネージャーはすべて、ユーザーがパスワードを安全に共有できるようにします。

4. ログイン時間の実装

従業員は、アカウントとシステムを使用する場合にのみログインする必要があります。 誰も使用していないときにアカウントとシステムをログインしたままにしておくことは、お粗末なサイバーセキュリティの実践です。 また、パスワード ポリシーでは、この慣行を厳密に禁止する必要があります。

5.定期的なパスワード監査を行う

パスワード ポリシーの有効性を確認するための定期的なプラクティスとして、パスワード監査を確立します。 これは、パスワード ポリシーの改善点を見つけて、その成功を最大化するのに役立ちます。

NIST パスワード ガイドラインとは何ですか?

パスワードに関する必須の NIST ガイドラインには、少なくとも 8 文字の長さのパスワードを作成すること、複雑さよりも長さを強調すること、「パスワードの表示」設定を有効にすること、2 要素または多要素認証を実装すること、および頻繁なパスワード変更を避けることが含まれますが、これらに限定されません。

複雑なパスワードは最小パスワード長と同じくらい重要ですか?

ハッキングされにくいパスワードを作成するには、複雑さとパスワードの長さの両方が必要です。 しかし、長いパスワードよりも複雑なパスワードを選択すると、ユーザーがパスワードを覚えにくくなります。 企業がパスワード マネージャー アプリを採用している場合は、長さと複雑さを最大化することをお勧めします。

パスワードはどのくらいの頻度で変更する必要がありますか?

ほとんどのサイバーセキュリティの専門家は、パスワードを 3 か月ごとに変更することを推奨しています。 すべての優れたパスワード マネージャーには、多くの場合、保存されたパスワードがデータ侵害インシデントで見つかったかどうかを通知する機能があります。 パスワードがデータ侵害にさらされた場合は、すぐにパスワードを変更する必要があります。

中小企業はパスワード マネージャーを使用する必要がありますか?

はい、中小企業はパスワード マネージャーを使用する必要があります。 パスワード マネージャー アプリは、従業員が複雑なパスワードを作成し、パスワードを安全に保存し、パスワードを安全に共有するのに役立ちます。 パスワード マネージャーを使用すると、信頼性の高いパスワード保護が提供されます。

理想的なパスワード ポリシーとは?

理想的なパスワード ポリシーでは、破られにくいパスワードを作成し、パスワードを安全に保管し、アカウントごとに異なるパスワードを使用することに重点が置かれます。 また、古いパスワードを頻繁に変更することも強調しています。

あなたはおそらくそれも好きでしょう:

  • ビジネスWiFiパスワードの共有は難しいことではありません。このようなQRコードを使用してください

画像: Envato Elements

詳細: サイバーセキュリティ