これまでの標準的な複雑さの要件はすでに「賞味期限切れ」
Specopの研究者らによると、分析された10億件以上の漏洩パスワードのうち、驚くべきことに2億3000万件が、多くの組織で使用され、多くの消費者が採用している標準的な複雑さの要件を満たしていたという。これは、こうした要件が賞味期限切れであることの証明だろう。つまり「8文字以上で、大文字、数字、特殊文字などを含むパスワード」という要件は、もはや目的にかなっていないのだ。実際、この点をさらに強調するなら、分析ではデータセット内で3億5000万件以上のパスワードが10文字を超えており、そのうち9200万件が12文字の長さであることが判明した。認証情報に関しては、サイズだけがすべてではない。とはいえ、研究者らは、パスワードの構成に関して「長くて強力」というモットーは依然として有効だと述べている。私は通常、パスワードマネージャーを使用して20文字のユニークでランダムに生成されたパスワードを使用することを推奨している。
「ハッカーがマルウェアで盗んだ資格情報を好むのは、入手・使用・販売が容易だからです」とSpecopsの研究者は述べて、特に多用されている情報窃取型マルウェアとしてRedLine、Vidar、Raccoon Stealerを挙げている。
レポートにはこれらについてさらに詳しい分析があり、一読の価値がある。最大の教訓は、マルウェアによる盗難が「パスワードの使い回し」がいかに危険かを改めて示している点にある。筆者は1PasswordやBitwardenのようなパスワードマネージャーを利用し、パスワードがユニークかつ強力かを監査することを強く勧めている。特にパスワードを使い回している場合は、早急に変更しなければ、10億件の盗まれたパスワードリストに自分のアカウントが追加されるリスクが高まるだろう。
(forbes.com 原文)
