パスワードが脅威となるのか?
「パスワードのみ」の認証は、脅威以外のなにものでもありません。
パスワードは本来、「その人だけが知り得るもの」であり、アクセスしている人が本人であるかを確認し、情報を守るために利用しています。しかし、その確認できるパスワードがフィッシング詐欺でハッキングされてしまえば、誰でもなり変われる脅威の合言葉となってしまいます。
そして、もう一つ脅威となる重要なポイントが、煩わしさからくるパスワードの使い回しです。
IT管理者がパスワードの脆弱性を気にして複雑化することで、社員は利用サービスが増えるごとにメモ、記憶に頼りパスワードを一層貧弱なものにし、煩わしい厄介ものだと感じるでしょう。そうなれば、誰しも同じパスワードを使いまわすことは容易に想像できます
実際に、Skypeに次いで導入されているとITツールとみられている「Zoom」の荒らし行為には、50万件以上とも言われる、使い回されているパスワードが使われています。原因として、以前別のサイトから既に流出してしまっていたパスワードを、ユーザーが新しく導入したZoomのアカウントで利用してしまっている可能性が高いようです。
「フィッシング詐欺でパスワードを盗まれる」「知らないうちに盗まれているパスワードを新しいサービスにも使いまわしている」という社員はあなたの会社にも既にいるかもしれません。
本来は本人だけが知りえるものであったパスワード。しかし、そのパスワードが脅威に変わってしまうことで、IT管理者が社員一人ひとりの動向を把握するのは骨の折れる仕事でしょう。降って沸いたリモートワークの波でただでさえ大騒ぎなのですから。
どのような対策があるのか?
「複雑で強固なパスワードにする」「パスワードを定期的に変更する」
いいえ、違います。
「パスワード」での認証をやめればいいのです。
例えば2段階認証。前述のSkypeのフィッシング詐欺から守る方法として、Microsoftアカウントにおいて2段階認証を行うことができます。パスワードと任意の連絡方法の2種類の認証方法が使用されるため、他のユーザーがサインインしにくくなり、セキュリティの強化が行えるのです。
しかし、この2段階認証には2つのリスクがあります。
パスワード忘れや間違いによるパスワードリセットを行うIT管理者の負担は軽減しないこと。それどころか、2段階目の認証に利用していたものが万が一認証アプリや電話番号であれば、携帯電話が壊れてしまった場合、代替えが難しいため設定変更などに相当の時間がかかりサービスへのアクセスに時間がとられてしまうのです。
