このガイドでは、安全なオンライン アプリケーションを作成するデザイナーやエンジニア向けに、最新のパスワード ガイダンスと推奨事項について説明します。関連するガイドである、ユーザー向けの最新のパスワード セキュリティは、エンドユーザー向けのガイダンスです。このガイドでは、パスワードベースの認証システムを構築する際のさまざまなオプションについて説明します。また、パスワードの安全性と使いやすさのバランスなど、パスワード ポリシーやストレージに関する一連の推奨事項をユーザーの視点で取りまとめています。
テクノロジーの世界では、コンピューティングの初期段階からパスワード改善への取り組みが進められてきました。知識共有型の認証には問題があります。情報が本来それを持つべきでない人の手に渡る可能性や、情報を忘れてしまう可能性があるからです。実際のユースケースを安全にサポートしていないシステムの存在や、よく見られるユーザーによる不適切な簡略化によって問題はさらに大きくなります。
Yubico / Ponemon の 2019 年の調査によると、回答者の 69% が同僚とパスワードを共有してアカウントにアクセスしています。回答者の半数以上(51%)が、ビジネス アカウントと個人アカウントで平均 5 つのパスワードを再利用しています。さらに、2 要素認証(2FA)プロセスは、ユーザー名やパスワードの上に保護機能を追加できるにもかかわらず、広く使用されてはいません。回答者の 67% が 2 要素認証プロセスをプライベートで一切使用しておらず、55% は 2 要素認証を仕事で使用していません。
最新のアプリケーション用に設計されたパスワード システムでも、ユーザーが安全でないパスワードを使用できることや、それが推奨されている場合すらあります。単一要素認証のみを許可し、効果のないセキュリティ ポリシーを実装しているシステムがさらなる問題の原因となります。恣意的で一貫性のないルールによって、ユーザーがパスワードを扱う際の安全性が損なわれる場合があります。また、パスワード回復システムによって、考慮されていなかった脅威カテゴリに対してユーザーとアプリケーションが脆弱なままとなる可能性があります。
概要
このドキュメントでは、以下について概説します。
- パスワード セキュリティに関する深い考察と研究に基づいた信頼できる情報源
- パスワード管理システムを設計するエンジニア向けの推奨事項
- パスワード セキュリティに関する一般的なアンチパターンと都市伝説
- 追加調査のトピック
ホワイト ペーパー全体を読むには、次のボタンをクリックしてください。