パスワードの変更日に対応するものが必要です
2月1日はパスワードの変更日です。公式ではありませんが、多くの技術サイトが読者にその日を宣伝しています。ユーザーは、セキュリティを向上させるために、その日にパスワードを変更するよう求められます。
確かに、パスワードの変更が理にかなっている場合もあります。オンラインサービスの違反、ウイルス攻撃の成功、偶発的な共有、またはパスワードの強度を高めるために、通常、その日にすべてのパスワードを変更する必要があることはあまり意味がありませんでした。
代わりに、「パスワードを確認する日」に名前を変更することをお勧めします。ユーザーは Have I been Pwnedデータベースに対してパスワードをテストする (ローカルで)、インターネットに漏洩したパスワードを変更します。
ユーザーは、パスワードの強度をチェックし、強度チェックアルゴリズムによって脆弱と見なされたパスワードを変更したり、環境で許可されている場合はパスワードマネージャーの使用を開始したりすることもできます。
2要素認証やその他の高度なセキュリティオプション(利用可能な場合)も検討する価値があります。
サーバーのセキュリティ日を確認する
私はあなたのパスワードの日を変更するための対応を提案します: サーバーのセキュリティ日を確認してください (大まかに基づいて ハイルに関するユルゲンシュミットの記事 )、私自身 2012年のパスワードセキュリティに関する記事 、および パスワードのセキュリティ:ユーザーが知っていることと実行すること 。ブルートフォース攻撃または標的型攻撃がユーザーの資格情報を盗む可能性があるのは確かですが、最大の脅威の1つは、ハッキングされた企業のサーバーにあります。
ソーシャルエンジニアリング、不適切に構成されたサーバー、パッチが適用されていないセキュリティの脆弱性、古いライブラリまたはコンポーネント、またはゼロデイの脆弱性のためにハッキングが成功したかどうかは、ユーザーの観点からは無関係です。
何十億ものパスワードセットがインターネットで無料で入手できます。これらのセット、 Pwnedされたことがありますか は、340のサイトからの64億のアカウントの一覧を示していますが、これは氷山の一角にすぎません。それらは成功した違反から生じ、ネット上ですぐに公開されるか、販売のために提供されるか、または公に漏らされることなく使用されます。
攻撃に成功した場合、企業の評判は低下しますが、ほとんどの場合、違反後すぐに「通常どおりのビジネス」に戻るようです。
企業は、「サーバーのセキュリティチェック日」を使用してセキュリティを向上させる必要があります。おそらく、これを年に1回行うだけでは十分ではありませんが、その日を使用して完全なテストを実行し、セキュリティを向上させることができます。新しい形式のセキュリティを実装するか、既存のセキュリティを改善する。
サービスのユーザーとして、考えられる最も強力なパスワードを選択しても、パスワードデータベースをダンプする犯罪者の手に渡る可能性があります。
私が言いたいのは、企業は責任を取る必要があるということだけです。違反の後でアカウントのパスワードをリセットして、すべての状況を処理するだけでは不十分です。企業はセキュリティを予防的に改善し、サーバーのセキュリティを定期的にチェックして、特定の攻撃経路を完全にブロックする必要があります。
では、あなた: 企業はサーバーのセキュリティを強化する必要がありますか?