独立行政法人情報処理推進機構(IPA)は5日、流出した個人のID・パスワードがサービスへの不正アクセスに利用される「パスワードリスト型攻撃」の増加をうけ、オンライン本人認証方式の実態調査を行い、調査結果を公開した。

今回の調査では、サービス利用者(個人)側とサービス事業者側の両方について、オンライン本人認証の実態調査を実施。安全なオンライン認証を実現する上で利用者側の意識と実態を調査し、優先すべき対策項目がまとめられている。

まず、利用者における「パスワードを作成する際、安全性を高めるために必要だと思う事項」(複数回答可)は、「英字と数字、記号が組み合わさった文字列」が74.2%と最多。次いで「名前や誕生日など、推測されやすい文字列を使わない」が70.3%、「8文字以上であること」が67.2%となった。

一方で、金銭に関連したサービスを利用する際に実際に設定しているパスワードを尋ねた質問(複数回答可)では、「ランダムな英数字の組み合わせ」が26.8%と最多だったものの、次いで「自身・家族の名前にちなんだもの」が19%、「自身・家族の誕生日にちなんだもの」が17.2%となり、多くのユーザーで安全なパスワードの知識はあっても、実際には名前や誕生日にちなんだパスワードを設定しており、セキュリティレベルは低いという結果となった。

パスワードに関する知識(図表:IPA)

また、セキュリティ確保のためのパスワード文字数の許容範囲(複数回答可)については、「8文字以上のパスワードの設定が必要」と回答した人が71.8%と最多。次いで「英字と数字、記号が組み合わさった文字列の設定」が49.1%、「IDをメールアドレス以外に設定する」が33.4%となるが、「12文字以上のパスワードの設定が必要」は24.5%と低く、利用者が許容できるパスワード文字数は8桁以上12桁未満と想定される結果となった。

このほか、「複数のパスワード設定が必要」は14.6%、「トークンや使い捨てパスワードなど他の認証が必要」は14.2%となり、パスワードに加えての他要素認証への許容度は低いものとなった。

調査対象が20代から60代の2,060名(男女別)。調査期間は2014年4月4日~7日。調査方法はモニター会社によるアンケート調査で、調査項目は個人がサービスサイトを利用する際に登録する情報、個人がサービスサイトを利用する際に使用する認証方式の種類、ID・パスワードを記憶するためのツールの利用状況など。

金銭に関連したサービスサイトのパスワードの構成(図表:IPA)