Twitterでは、クリップボードからのパスワードの挿入をブロックするサイトの例を頻繁に受け取ります。 なぜサイトはこれを行うのですか? 議論が始まりました-そして、ほとんどの討論者は、これが非常に迷惑であるという事実に注意を払います。
では、なぜ組織はこれを行うのですか? 多くの場合、彼らは何の説明もしませんが、もしそうなら、彼らは「セキュリティ」について話します。 NCSCは、これらの懸念が十分に根拠があるとは考えていません。 パスワード挿入ロック(BWP)はセキュリティを損なう悪い習慣であると考えています。 ユーザーにパスワードの挿入を許可する必要があると考えています。
どこから来たのか誰も知らない
BWPの実践がどのようにして生まれたかは謎のままです。 科学的な記事、研究、ルール、RFC(インターネットルールの技術標準)、または同様のものが、どこから始まったのか、誰も見ていません。 あなたが何かに精通しているなら、コメントで私に知らせてください。 これらの「ベストプラクティス」の1つがここで行われ、そのアイデアは常識へのアピールから生まれたと考えています。 以前は、このようなアイデアは理にかなっていた可能性があります。 私たちの時代の全体像を考えると、今ではまったく意味がありません。
では、なぜパスワードを挿入するのが良いのでしょうか?
パスワードを挿入するとセキュリティが向上する主な理由は、パスワードガイドで説明したパスワードの過負荷を軽減するためです。 パスワードを挿入する権限により、Webフォームとパスワードマネージャーの互換性が高くなります 。 パスワードマネージャーは、ユーザーではなくフォームにパスワードを選択、保存、入力するプログラム(またはサービス)です。 彼らは非常に便利です:
- サイトごとに異なるパスワードを簡単に保存できます。
- パスワードを入力する際の生産性を向上させ、タイプミスを防ぎます。
- 長く複雑なパスワードの使用を簡素化します。
免責事項:パスワードマネージャーは、たとえば、コンピューター上の通常の(つまり、安全でない)ドキュメントにパスワードを保存するよりも優れたセキュリティを提供できますが、組織内のすべてのパスワードの問題に対する普遍的なソリューションではありません。 次の記事では、パスワードマネージャーを選択する際に考慮すべき要素について詳しく説明します。
パスワードマネージャーがなく、パスワード付きの保護されていないドキュメントすら存在しないと想像してください。 パスワードマネージャーがなければ、すべてのパスワードを覚えることはほとんど不可能です。 この場合、次の悪いオプションのいずれかを選択する必要があります。
- 異なるサイトで同じパスワードを再利用します。
- 非常に単純な(したがって、選択しやすい)パスワードを選択する
- パスワードを書き、見つけやすい場所に保管します(モニター上のPost-Itリーフレットなど)。
そのため、BWPを悪い習慣と見なし、パスワードの挿入を許可するのは良いことです。 利点は、欠点よりもはるかに多くあります。
パスワード(BWP)の挿入をブロックすることが間違っている理由
BVPを正当化しようとする他の理由があります。 これらの議論における小さくて誤解を招く真実の核は、非常に説得力があるように聞こえます。 それを理解しましょう。
理由1:「パスワードを挿入すると、総当たり攻撃が容易になります」
パスワードの挿入を有効にすると、悪意のあるソフトウェアまたはWebページが正しいパスワードを見つけるまで継続的にパスワードを挿入できます。
これは事実ですが、ブルートフォースを実行する他の方法(APIを使用するなど)が存在することも事実です。これらの方法は攻撃者にとっても同じくらい簡単ですが、はるかに高速です。 コピーアンドペーストによるパスワードの選択による攻撃のリスクは非常に小さいです。
理由2:「パスワードを挿入するため、手動で入力する可能性が低いため、覚えにくい
原則として、これは真実でもあります。何かを覚えることを余儀なくされるほど、次回それを覚えやすくなります。
ただし、現実の世界では、めったに使用しないサービスも含めて、パスワードを作成する必要があります。 これは、彼らが練習するのに十分な時間がないことを意味し、何かを思い出す可能性がほとんどありません。 この言い訳は、ユーザーが自分のパスワードを覚えておく必要があると最初に仮定した場合にのみ当てはまります。これは常に当てはまるわけではありません。
人々はまた、頻繁に使用するサービスのパスワードを作成するため、必要な場合でもパスワードを忘れることができません(定期的にパスワードを変更する必要がある場合はかなり不便です)。時間。 このような状況では、パスワードマネージャーが役立ち、BWPはそれらを一掃します。
理由3:「パスワードはクリップボードに残ります」
ユーザーがコピーと貼り付けを行うと、コピーされたコンテンツはクリップボードに保存され、そこから必要な回数だけ貼り付けることができます。 コンピューター上のソフトウェア(およびそれを操作するすべてのユーザー)はバッファーにアクセスでき、その内容を表示できます。 通常、新しいコンテンツのコピーは古いコンテンツの上に行われ、破棄されます。
多くのパスワードマネージャーは、パスワードをクリップボードにコピーして、Webサイトのフォームに貼り付けます。 パスワードがクリップボードから削除される前に、攻撃者(またはマルウェア)がパスワードを盗むリスクがあります。
クリップボードのパスワードは、コンピューター上のドキュメントから手動でコピーされた場合、より大きな問題になる可能性があります。 バッファのクリーニングを忘れることがあります。 しかし、これはそれほど大きなリスクではありません。なぜなら:
- ほとんどのパスワードマネージャーは、Webサイトでパスワードを入力するとすぐにクリップボードをクリアします。一部のユーザーは、仮想キーボードでパスワードを入力してバッファーをまったく使用しません。
- Internet Explorer 6 Webブラウザーは、悪意のあるページにクリップボードへのアクセスを提供します。 しかし、このブラウザを使用する人はほとんどいません。
- コンピュータ上のウイルスは、バッファの内容をコピーしてパスワードを取得できます。 しかし、これはまだBWPの適切な言い訳ではありません。 コンピュータがウイルスに感染している場合、それをまったく信頼できません。 クリップボードをコピーするウイルスやその他の悪意のあるプログラムは、ほとんどすべてのキーストローク、パスワードを含むすべての数字と文字を記録します。 バッファからコピーするか手動で入力するかに関係なく、彼らはあなたのパスワードを知っているので、BWPはあなたに少しを与えます。
パスワードの挿入をブロックする代わりに、最初のステップは、エンタープライズセキュリティガイドラインに従ってマルウェアからコンピューターを保護することです。 ソフトウェアを最新の状態に保ちます-これは健康的な食事のITバージョンであり、コンピューターを保護するための最良の方法の1つです。
言葉だけじゃない
パスワードの挿入をブロックすることに反対するだけだと考える必要はありません。 Troy Huntのブログ(「私たち全員のための歴史的なレッスン」)またはこのWiredの記事を参照してください 。
ユーザーをサポートすることにより、セキュリティを改善します。 パスワードを挿入させます。