Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一石投じるMSのパスワードガイダンス - 多文字種や定期変更は不要、でも多要素認証を

一方、4種類については効果的な対策として実施を求めている。従来同様、単語やよく使うフレーズ、他人が予測できる情報など、安易なパスワードを禁止することが、「もっとも重要」と述べた。

組織のアカウント情報を、他サービスで使い回ししないよう教育することの重要性も強調。さらに多要素認証の強制を挙げる。セキュリティイベントを通知するため、代替メールアドレス、電話番号を最新の状態で保つことも含まれる。

くわえて多要素認証は、セキュリティ向上以外にも、パスワードを忘れた場合に再発行などで利用でき、ヘルプデスクのコスト削減にもつながるといったメリットを解説した。最後に、さまざまな条件からリスクを予想し、認証を追加する「リスクベース多要素認証」を挙げている。

一般ユーザーについては、予想しずらいパスワードの利用や2要素認証のほか、アクセス状況などを確認することで、疑わしい活動を確認できることを紹介。

最新版のOSを利用することや疑わしいメールやウェブサイトに注意すること、マルウェア対策ソフトの活用など基本的なセキュリティ対策の実施もあわせて講じるよう求めている。

20160602_ms_003.jpg
攻撃に対する効果をまとめた表。ユニークなパスワードや「MFA(多要素認証)」はカバー範囲が広い一方、文字数の長さや複雑性、定期変更は「N(効果がない)」が目立つ(表:Microsoft)

(Security NEXT - 2016/06/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

中間者攻撃で認証応答を偽造できる脆弱性「Blast-RADIUS」
海外出張中に個人情報含むPCが鞄ごと盗難 - ラサ工業
Palo Alto製品に脆弱性 - 重要度「クリティカル」も
日米豪など8カ国が共同署名 - 中国関与の「APT40」へ対抗
症例情報登録システムがランサム被害、症例情報一時利用できず - 量研
デザイン建材通販サイトに不正アクセス - 個人情報流出の可能性
「りそな銀行」かたるフィッシング攻撃の報告が増加
ニデック子会社へのランサム攻撃、グループ会社にも影響広がる
WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因
セミナー事務局のメルアカからスパム送信、原因を調査 - 広島県