CISA、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加
タレコミ by headless
headless 曰く、
米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。
単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。
現在、CISA がバッドプラクティスとしているのは以下 3 件。重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。
- サポートされないソフトウェアの使用
- 既知/固定/デフォルトパスワードの使用
- 単一要素認証の使用
CISA、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加 More ログイン