昨今多くのパスワードリスト攻撃による被害が発生していることを受け、情報処理推進機構が4月4日~7日にかけて20代~60代の男女2060人を対象に、本人認証に関する調査報告書を公開した。今回の調査で、利用者のセキュアなパスワードに関する認識は低くないが、実際のセキュリティレベルは低く、またサービス事業者が提供しているパスワードのセキュリティレベルも安全ではないことが分かった。
- 利用者の安全なパスワードの知識に対しパスワードの安全性レベルは低い
サービスの利用者にパスワード設定に関する条件の理解度を聞いたところ、「英数字や記号を組み合わせた文字列」が74.2%、「氏名、誕生日など推測されやすい文字列を使用しない」が70.3%、「英数字8文字以上」が67.2%と7割近くが正しい知識を持っている一方で、実際設定しているパスワードはランダムな英数字の組み合わせを利用しているのは26.8%、名前にちなんだものが19.0%、誕生日にちなんだものが17.2%で、ランダムな英数字と記号の組み合わせを設定しているのは13.1%に留まった。
- パスワードを使いまわす理由は忘れるから
金銭が関係する複数のサービスサイトで同一のパスワードを利用している割合は25.4%となり、4分の1がパスワードを使いまわしていることが分かった。理由としては忘れるから、が64.1%と最多で、複数のパスワード管理が手間だからというのが51.3%であった。
- サービスサイトで事業者も十分なセキュリティ環境の提供不足
サービスサイトでのパスワードを設定の最小桁数が8ケタ未満である割合が58%で、通販・物品購入のサービスに限っては79.2%という高い割合であった。また、英数字と記号が使用可能なサービスサイトはわずか11%で、69%が英数字のパスワードで、通販・物品購入サービスに限定すると約9割であることがわかり、サービス事業者も十分なセキュリティ環境を提供できていない現状がわかった。一方金融サービスではパスワードの桁数が8ケタ未満であったり英数字のみのパスワードであってもワンタイムパスワードなど多要素認証方式を採用していることろが多くあった。
- 利用者が求める安全なパスワード認証の許容量は高い。
セキュリティ確保のための認証方法の変更に対する許容範囲の質問では、8文字以上のパスワードの設定が必要という回答が最も多く71.8%であった。12文字以上という回答は24.5%と急に低くなった。また、複数のパスワード設定は14.6%、トークンや使い捨てパスワードは14.2%と多要素認証に対する許容量は高くなかった。
同機構は、インターネット利用者には、パスワードを使いまわさずにサービスごとに異なるアカウントを設定し、8ケタ以上の英数字と記号の文字列を設定し、パスワードをPCに保存する際には暗号化して保存し、パスワードは定期的に変更するよう呼びかけている。また、事業者には、利用者が安全なパスワードを設定できるように最低文字数を8文字以上にして文字種を増やす必要があり、またサービスに対するリスク分析を行って適切な認証手段を提供することが大事だと提言している。