パスワードマネージャーを手に入れましたか? 良いですが、あなたはそれを間違って使用しています
公開: 2022-01-29おめでとう! あなたは私たちのアドバイスに従い、パスワードマネージャーをインストールしました! たぶん、あなたはすべてのパスワードを覚えるようにそれを訓練したことさえあります。 しかし、悪いパスワードを強力な一意のパスワードに置き換えましたか? これらすべてのパスワードを、他の誰も推測できない強力なマスターパスワードで保護しましたか? つまり、パスワードマネージャーを正しく使用していますか?
カリフォルニア大学バークレー校のUsablePrivacy andSecurityトラックの講師兼コースリーダーであるStuartSchechterは、あなたがそうではないことを心配しています。 彼は大学院生にあなたが何をしているのかを知るように勧めたほどです。 2021年の仮想RSAセキュリティ会議で、Schechterと大学院生のDavidNgが調査結果を明らかにしました。
パスワードは無効です、パスワードを長持ちさせます
Schechterは、昨年のRSACでN95マスクを着用していたその男として自己紹介しました。これは、裸の顔の海の中で奇妙なボールです。 彼は、これはコロナウイルスのパンデミックについての何らかの予知によるものではなく、データがない場合に楽観的な仮定をすることへの嫌悪感によるものであると述べました。 同様に、データがなければ、消費者がパスワードマネージャーを適切に使用しているとは想定できません。
Schechterは、Bill Gatesによる2004年の予測を思い起こさせました。彼は、パスワードの使用はますます少なくなると述べました。 「マイクロソフトは、天然痘のような病気であるかのように、パスワードを根絶することについて話しました」とSchechter氏は述べています。 「しかし、別のキャンプはパスワードが増えることに賭け、消えることはありません。」 彼は、パスワードマネージャーの進化について深く掘り下げ、Microsoftの2006年リリースのCardSpaceがパスワードを終了することを目的としていた(そうではなかった)、Windows 10がパスワードの終了を意味するという宣言(そうではなかった)などのイベントを行いました。
パスワードマネージャーを使用することには、1つの固有のリスクがあります。つまり、すべての卵を1つのバスケットに入れることになります。 万が一、ハッキングクルーがパスワードマネージャーをクラックした場合、問題が発生します。 パスワードマネージャーを使用する利点は無数にあり、その中にはフィッシング詐欺からの保護があります。
「あなたは自分のパスワードマネージャーに頼って、知らないパスワードを入力します。 フィッシングサイトにアクセスした場合、パスワードマネージャーはそれを埋めません」とSchechter氏は述べています。 「パスワードマネージャーで調べに行く必要があります。それだけで、フィッシング詐欺の大きな手がかりになります。」
私たちのトップパスワードマネージャー
以前の研究で、Schechterと同僚は、強力なパスワードを覚える個人の能力を評価しました。 良いニュース? 彼らは、ほとんど誰でも非常に強力なパスワードを覚えることができると判断しました。 ただし、悪いニュースは、そのためには30分以上の間隔で20〜30回のトレーニングセッションが必要であり、定期的に使用しないとパスワードを忘れてしまう可能性があることです。
パスワードマネージャーを使用する利点はすべて、次の3つの前提条件に依存します。ユーザーが強力なパスワードを記憶することを前提としています。 ランダムなパスワードを生成するパスワードマネージャーの機能に依存すること。 また、脆弱なパスワード、再利用されたパスワード、または侵害されたパスワードはすべて変更されます。 しかし、それらの仮定は正確ですか? Schechterは、データがない場合に楽観的な見方をするのではなく、大学院生に真実を探求するように勧めました。
データ、データ、データ
卒業生のDavidNgは、グループが参加者をどのように見つけたかについて詳細に説明し、5か月以上パスワードマネージャーを使用した約2,500人から約100人までの初期プールを選別しました。 少なくとも5つのパスワードを管理しました。 パスワードマネージャーのセキュリティダッシュボードのスクリーンショットを提供してくれました。
では、参加者は強力なマスターパスワードを使用しましたか? パスワードマネージャーにパスワードを生成させて記憶させた人はほとんどいませんでした。 PCMagでよく提案されているように、はるかに大きなグループがニーモニックデバイスを使用してパスワードを作成しました。 残念ながら、最大のグループは、使い慣れたパスワードをパスワードマネージャーのマスターキーとして再利用することを認めました。
パスワードマネージャーを使用して、すべてのパスワードを12345678またはその他のひどいパスワードに設定したまま、キーストロークを保存できます。 もちろん、適切に使用するには、これらの弱いパスワードをパスワードユーティリティによって生成されたものに変更する必要があります。 調査によると、Chromeの組み込みのパスワードマネージャーに依存している人のわずか5分の1が、パスワードの生成を許可していました。 サードパーティのユーティリティに依存している人の約半数がこの機能を利用していました。
調査では、参加者がセキュリティダッシュボード機能の機能を使用して、脆弱なパスワード、重複したパスワード、および侵害されたパスワードを特定する方法(およびその有無)を調査しました。 結果は落胆しました。 パスワードツールが置換が必要なパスワードを正しく識別したことに同意した参加者でさえ、問題について何もしなかったことがよくあります。 作業が多すぎる、パスワードの更新が問題になるのではないかと心配しているなどの理由があります。
人々が自分がしていることを知っていると思い込まないでください
Ngは、セキュリティの専門家や個人への警告でプレゼンテーションを締めくくりました。 人々がパスワードマネージャーを持っているからといって、彼らが完全に保護されているとは限りません。
「人々が強力なマスターパスワードを選択するとは思わないでください。パスワードマネージャーによって作成されたパスワードを使用するとは思わないでください。また、弱いパスワード、再利用されたパスワード、または侵害されたパスワードを置き換えるとは思わないでください。思い出したとき。」
編集者からの推薦
パスワードを正しく行う方法
あまりにも多くの人がパスワードマネージャーをインストールして、それを適切に使用していないのを見てきました。 彼らのようにならないでください! 彼らの過ちをあなたの教えられる瞬間にしましょう。
そのマスターパスワードから始めます。 すでに述べたように、ログイン資格情報の宝庫を保護するため、覚えておくことができるものでなければなりませんが、誰も推測することはできません。 私たちのアドバイスに従って、お気に入りの詩や歌をパスワードに変えるか、私生活から推測できないものを選択してください。
止まらないで! 多要素認証を有効にすることで、大切なパスワードの保護を強化します。 すべての最高のパスワードマネージャーがそれを持っています。 これで、他の認証要素を持っているのはあなただけであるため、推測できないパスワードを盗む悪意のある要素でさえも侵入できなくなります。 その要因は生体認証である可能性があります。または、ポケットに入れられた電話のアプリを介して機能する可能性があります(他の人は機能しません)。
多くのパスワードマネージャーは、保存されたパスワードを評価し、不完全なもの、複数回使用したもの、またはデータ侵害にさらされたものにフラグを立てます。 面倒なことは承知していますが、それらを処理して、長くて強力な新しいパスワードに置き換える必要があります。 最悪のものから始めて、すべてのパスワードが完全になるまで、一度にいくつか実行します。 これらの新しいパスワードを考える必要はありません。 パスワードマネージャーがそれらを生成します。
携帯電話の小さなキーボードでパスワードを入力したくないので、複雑なパスワードの使用に抵抗したのではないでしょうか。 もう抵抗しないでください! パスワードマネージャーのモバイルアプリをインストールして、アカウントにリンクします。 これで、電話へのログインは簡単です。
挑戦して、パスワードマネージャーを正しく使用する方法を学びましょう。 あなたの十分な数があれば、おそらく次の研究は、これらの有用なプログラムの完全な利益を得るのに十分賢い人がいることを示すでしょう。