大手IT企業はパスワードの問題を解決しようとしているが、今のところ、オンライン上で何かにアクセスしようとすれば、パスワードを使わざるを得ない場合が多い。そして今も多くの人は、パスワードが漏えいした後も、同じパスワードを使って複数のサイトにアクセスし続けているようだ。
セキュリティ企業のSpyCloudは、新たに発表したレポートの中で、多くの人が複数のオンラインアカウントで使用するパスワードに悩まされていることを明らかにした。同社は、2021年中に収集した755件の漏えい情報から得られた17億件のユーザー名とパスワードの組を分析し、64%の人が、ある情報漏えいで流出したのと同じパスワードを、他のアカウントで使い続けていると推定している。
パスワードの再利用が問題なのは、複数のサイトで同じパスワードを使用していると、パスワードの1つが流出したときに、それを使ってほかのアカウントにもアクセスされてしまう危険があるからだ。
また、依然として弱いパスワードを使っている人が後を絶たない。この悪習はよくある話で、弱いパスワードの典型的な例には、「123456」「qwerty」「admin」「password」などが挙げられている。
SpyCloudはパスワード再利用の問題に取り組んでいるが、今回の調査では、「Netflix」や「Disney+」などのオンラインストリーミングサービスのコンテンツに基づくパスワードが増えていることも分かった。「ポップカルチャー」分野のパスワードで最も多かったのは「Loki」で、それに「Falcon」と「Wanda」が続いていたのだ。
また、2021年以前に一般に入手可能だった漏えい情報から収集されたパスワードのうち、64%が現在も複数のサイトで使われていることが判明した。
ただし、SpyCloudによるパスワードの「再利用」の定義には少し曖昧なところがあり、今回の調査結果は、全体的な傾向を示しているだけだと考えた方がよいかもしれない。例えば同社は、ある時点の情報漏えいで収集された認証情報が、それ以降に起こった情報漏えいでも見つかった場合、それを1件の再利用としてカウントしている。しかしこれは、必ずしもユーザーが特定の時点で同じパスワードを使用していたことを意味しないかもしれない。同じユーザー名とパスワードの組み合わせが、同社が特定の時期に入手した複数の漏えい情報の中で発見されたというだけの話だ。
