多くの人は依然として不適切なパスワードを選んでいるようだ。おそらく、人々がより一層ウェブサービスに依存するようになっているためだろう。
パスワード管理ソフトウェアを提供するLastPassが実施した、パスワードに関する行動の心理に関する調査で、多くの人が依然として複数のアカウントでパスワードを使い回していることが分かった。1つのアカウントの認証情報がハッカーに侵害されると、同じパスワードでほかのアカウントも侵害されてしまう恐れがあるため、パスワードの使い回しは問題となる。そして、このことはオンラインアカウントで貧弱なパスワードを選択することに伴う多くのリスクの1つにすぎない。
この調査は、米国、英国、ドイツ、オーストラリア、シンガポール、フランス、インドでさまざまな業界の組織のプロフェッショナル3750人を対象としたものだ。LastPassによると、調査に回答した人の92%は、同じパスワードを使い回すことの危険性を認識しているが、65%は複数のアカウントでパスワードを使い回しているという。さらに、回答者の45%は、データ侵害が発生した後も、過去1年間でパスワードを変更しなかった。また、パスワードに対する態度はアプリケーションによって異なるようだ。回答者の68%は金融関連のアカウント向けに強力なパスワードを作成すると答えたが、仕事関連のアカウントに強力なパスワードを作成するとした回答者は32%だった。
多くのユーザーは、誕生日や自宅の住所などの公にしている可能性のあるデータと関連する個人情報を使用し、パスワードを作成している。強力なパスワードは「個人情報と関連するものであるべきではない」と答えた人はわずか8%だった。
覚えておかなければならないアカウントが非常に多いことから、1つのパスワードを選択して、すべてのオンラインアカウントで使い回す人があまりにも多いのは意外なことではない。
「パスワードスプレー攻撃」について知らない人も多いだろう。国家を後ろ盾とするハッカーが実行しているように、サイバー犯罪者もパスワードスプレー攻撃を利用する。効果的で費用もさほどかからないためだ。
同社は、「個々の単語ではなく、数字や記号を織り交ぜた意味のないフレーズを使用し、パスワードをより長く、強力で、より覚えやすくするとともに、ハッカーが解読することが難しくなるようにする」ことを推奨している。
英国家サイバーセキュリティセンター(NCSC)も、3つのランダムな単語を選択し、パスワードを作成するよう推奨している。
Microsoftはパスワードなしでログインできるオプションを提供し、「パスワードレス」を実現しようとしている。2要素認証なども保護を強化する上で有用だ。攻撃者がサービスにアクセスしようとしても、パスワード以外のものが必要になるためだ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。