パスワードに関する調査:再利用は? 難読化は? 多要素認証は?

Password Reuse Problems Persist Despite Known Risks

2021/09/23 DarkReading — パスワード・セキュリティの危険性が認識されるようになった一方で、約3分の2の人々は、自身の複数のアカウントに同じパスワードを、または、そのバリエーションを使い続けている。最近の調査によると、平均的な人において、少なくとも 50のオンライン・アカウントを利用されていることを考えると、これは困ったことである。

パスワード・セキュリティ企業である LastPass の調査によると、問題は人だけでなく、その人が働く組織にもあることが分かった。パンデミックによるリモートワークへの移行の後に、従業員の 10人に 7人がリモートワークを行い、より多くのオンライン・サービスを利用するようになった。しかし、従業員によるパスワードの定期的な更新や、多要素認証などの使用などを強制している企業は、全体の 35%しかなかった。

LogMeIn が所有する LastPass の Senior Manager である Katie Petrillo は、「今回の調査結果は、パスワードの習慣を改善するためには、知識や教育だけでは不十分であることを示唆している。私たちは、リスクがあるからといって、より良いセキュリティを、人々が採用する動機にはならないことを発見した。職場が変わり、誰もが、より多くの時間をオンラインで過ごすようになり、個人にも企業にもオンライン・セキュリティを優先する必要が生じている」と述べている。

ソフトウェアやデバイスのベンダー、そして一部のユーザーが、この10年間でセキュリティ対策を強化してきたが、攻撃者は認証情報を取得するようになり、それを使ってリモート/クラウド・サービスに不正アクセスするようになった。たとえば、2019年末には、Citrix がクレデンシャル・ベース攻撃の餌食となり、同社のネットワークが侵害された。2020年には、Akamai によりて、クレデンシャルを不正に使用しようとする 1,900億件以上の試みが検出された。

Microsoft の Corporate VP である Vasu Jakkal は先週のブログ記事で、「20% の人々はパスワードをリセットせず、また、20% の人々は電子メールに全て返信する。パスワードは格好の標的であるにもかかわらず、長年にわたり、電子メール/銀行口座/ショッピングカート/ビデオゲームなどの、デジタルライフの全てにおいて、最も重要なセキュリティ層となってきた。私たちは、複雑でユニークなパスワードを作成し、それを記憶し、頻繁に変更することを求められているが、誰もそのようなことは好きではない」と述べている。

LastPass の New Report: 2021 Psychology of Passwords では、人々や企業が依然としてパスワードに問題を抱えていることが確認された。同社は、米国/英国/オーストラリア/シンガポール/ドイツ/インド/フランスの 3,750人の専門家を対象に、企業でパスワードを使用される方式にいついて、基本的な質問を行った。

その結果、金融機関のアカウントでは 68% の人々が、電子メール・アカウントでは 50% の人々が、より強力なパスワードを作成しているのに対し、仕事関係のアカウントで強力なパスワードを作成しているのは 33% に過ぎないことが分かった。さらに、45%の人は、情報漏えいが発生した後も、1年間にわたりパスワードを変更していない。また、調査対象者の 83% は、自分の情報がダークウェブに流出していたとしても、それを知る術がないと回答している。

パンデミックによりリモートワークに移行したこと、そして、リモートワークを続けようという気運が高まったことが、ビジネスに大きな影響を与えている。調査対象となった10人中7人は、パンデミックの間、少なくともパートタイムでリモートワークをしており、ほぼ同数の人のオンラインで過ごす時間が長くなっている。また、ほとんどの人が、オンラインで活動範囲を広げている。今回の調査では、回答者の 90%以上が、少なくとも1つの新しいアカウントを作成している。また、50% の人の、オンラインで使用するアカウント数が 50% 増加したとしている。

LastPass の Petrillo は、「企業も個人も、すべての認証情報を脆弱なものとして扱う必要がある。誕生日などの個人情報は、ハッカーにとって何の価値もないと思うかもしれないが、これらの認証情報と銀行情報と類似している場合は、金融情報も流出してしまう可能性が高くなる」と述べている。しかし、良いニュースもある。回答者の 76% が多要素認証を利用したことがあると回答し、前年と比較して 10% 増加していることが分かった。

同じテーマで異なる調査

他の企業でも同じような調査結果が出ている。認証サービスを提供する Cisco Duo Labs が先週に発表した調査結果では、72% の人が二要素認証を定期的に使用し、認証情報が原因となる被害を抑制していることが分かった。メール・セキュリティ企業の Agari が5月に発表した調査結果によると、攻撃者は定期的に数時間サイクルでパスワードを探り出し、それを攻撃に利用しているとのことだ。LastPass の調査によると、人々がパスワードを再利用する最も一般的な理由は、パスワードを忘れたくない (68%) 、パスワードを管理したい (52%)、自分のアカウントにはセキュリティ強化する価値がないと思う (36%) となっている。

耳の痛い話が、ズラズラと並んでいますね。仕事関係と銀行関係は、それなりに注意していますが、どうでも良いと思うアカウントでは、けっこういい加減にパスワード設定を行ってしまっています。おそらく、大半の人が同じだと思いますが、徐々にでも直していかなければなりませんね。考えるだけで、頭が痛くなりますが、頑張りましょう 🙂

%d bloggers like this: