米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。

単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。

現在、CISA がバッドプラクティスとしているのは以下 3 件。

1. サポートされないソフトウェアの使用
2. 既知/固定/デフォルトパスワードの使用
3. 単一要素認証の使用

重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 2021年06月13日
PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 2021年03月31日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
米国土安全保障省の選挙インフラに関する評議会、11月3日には米史上最もセキュアな選挙が行われたと声明 2020年11月15日
中国政府関与のハッカー集団が2要素認証を突破してVPNアカウントを奪取していたとの報告 2019年12月26日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9％がブロックできる 2019年08月30日