複雑なパスワードでもすぐに破られてしまう理由

エンタープライズPasskeyホワイトペーパー. パスキープログラム向けの実践ガイド、展開パターン、KPI。

すべてのデータ侵害の80%以上はパスワードに関連しています。各アカウントに複雑で異なるパスワードを使用することで、セキュリティを高めることができます。しかし、強力なパスワードを設定している顧客アカウントであっても、ハッキングされる可能性があります。

アプリやウェブサイトなどのデジタルアカウントへのログインについて話すとき、ユーザー名とパスワードの組み合わせが思い浮かびます。秘密のパスワードは数千年前から使用されてきました。これはシンプルな概念であり、個人の間で秘密にされ、身元を証明するために使用される共有情報です。

最近の記事

人々が人生の大部分をオンラインで過ごす現代において、このシンプルな概念の使用は広く普及しています。調査によると、新しいアプリやオンラインサービスの爆発的な増加に対応して、ユーザー1人あたりのパスワードで保護されたアカウントの数が近年急激に増加していることがわかっています。NordPassが委託したある調査によると、2019年から2020年の間にユーザー1人あたりのパスワード数は平均83個から100個へと20%増加しました。

パスワードで保護されたアカウントの増加自体は、最初は問題にはなりません。しかし、ユーザーがパスワードを設定し管理する方法には問題があります。パスワードは静的であるため、ユーザーが記憶するか、付箋やパスワードマネージャーに保存する必要があります。平均的な人が記憶できるのは7つの文字や数字の組み合わせだけであるため、100個の個別のパスワードを記憶するのは非常に困難です。その結果、ユーザーは家族の名前、誕生日、またはインターネット上で依然として最も使用されているパスワードである「123456」のようなシンプルなパスワードを使用する傾向があります。しかし、そもそもなぜパスワードがセキュリティ上の問題となるのでしょうか？

重要なポイント

パスワードの使い回しが多くの侵害の原因です。ユーザーの52%がパスワードを使い回しており、ハッカーは最も脆弱なプラットフォームを悪用して複数のアカウントに同時にアクセスできます。
フォーブスによると、10万件のデータ侵害による150億件以上の認証情報がオンラインで購入可能であり、盗まれた認証情報の量は2018年以降300%増加しています。
ブルートフォース攻撃は1秒間に1,000億回以上の推測を超えるため、複雑なパスワードであっても最新のハードウェアにかかれば数秒で解読される可能性があります。
すべてのデータ侵害の80%以上にパスワードが関与していますが、侵害された認証情報の70%は漏洩後も引き続き使用されています。
NordPassの調査によると、2020年に平均的なユーザーは100個のパスワードを管理しており、2019年の83個から20%増加し、広範な使い回しを助長しています。

パスワードの使い回しはセキュリティ侵害の最大の原因#

すべてのアカウントを管理するため、ユーザーの52%がパスワードを使い回しており、深刻な結果を招いています。これにより、ハッカーは最も弱いリンク（最もセキュリティ基準の低いウェブサイト）を攻撃することで、複数のアカウントへのアクセスを取得できます。たとえば、Facebookアカウントは複雑なパスワードと強力なセキュリティ基準で保護されているとします。しかし、2008年のMySpaceのデータ侵害（3億5,942万698件の認証情報が盗まれた）などの過去のデータ侵害にあなたの認証情報が含まれていた可能性は十分にあります。そして、これはほんの一例にすぎません。フォーブスによると、盗まれた認証情報の数は2018年以降300%増加しています。今日では、10万件のデータ侵害による150億件以上の認証情報を、誰もがインターネット上で購入できます。これらの認証情報を使用して、ハッカーは何百ものプラットフォームで大規模なログインリクエストを実行し、あなたのアカウントへのアクセスを試みます（いわゆるクレデンシャルスタッフィング攻撃）。

複雑なパスワードであっても安全ではない#

この広く知られているリスクにもかかわらず、侵害された認証情報の70%は依然として使用されています。一般的に、クレデンシャルスタッフィング攻撃は、パスワードマネージャーと組み合わせて、プラットフォーム上の各アカウントに異なる複雑なパスワードを使用することで回避できます。しかし、複雑なパスワードであっても数秒で簡単に解読される可能性があります。昨年、考えられるすべてのパスワードを生成しようとするコンピューターの記録が樹立されました。その速度は1秒間に1,000億回の推測を超えるものでした。このようなスクリプトを使用してランダムなユーザー名とパスワードの組み合わせを試す手法は、ブルートフォースメソッドと呼ばれます。

しかし、パスワードがブルートフォースによって解読されなかったとしても、完全に安全というわけではありません。顧客として、あなたはログインしているプラットフォームのセキュリティ基準を信頼しなければなりません。保護が弱い場合、どんなに複雑なパスワードであっても盗まれる可能性があります。

ハッカーは創造的で常に手法を改善している#

残念ながら、顧客アカウントへの不正アクセスを得るための手法は、クレデンシャルスタッフィングやブルートフォースだけではありません。もう1つの広く普及している手法はフィッシングです。これは、元のサイトの偽のユーザーインターフェースを使用してユーザーを騙し、認証情報を入力させるものです。その他の手法としては、公衆Wi-Fiネットワークなどの通信ストリームを傍受する中間者攻撃や、マルウェアをコンピューターにインストールして認証情報をキャプチャするキーロガーなどがあります。

パスワードが存在する限り、顧客アカウントはハッキングされる#

上記で概説した問題が、すべてのデータ侵害やハッキング攻撃の80%以上がパスワードによるものである理由であり、認証を処理するために単なるユーザー名とパスワードよりも優れたアプローチが必要であることを強調しています。2要素認証（2FA）などの進化はセキュリティ面で正しい方向に向かっていますが、ユーザーの普及率は非常に低いです。では、パスワードを完全に省略してパスワードレスにしてみてはいかがでしょうか？興味を持たれましたか？Corbadoのパスワードレスソリューションを検討し、未来の認証の第一印象を体験してください！

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →