IPAセキュリティセンターは8月5日、パスワードリスト攻撃によるネットサービスの被害が深刻なことを受け実施した「オンライン本人認証方式の実態調査」の報告書を公開した。
同調査は、20代から60代の男女2,060名を対象に行われたもので、サービスの利用者と事業者とに分けて結果が報告されている。
利用者においては、「英字、数字、記号を組み合わせた文字列であること」(74.2%)、「名前や誕生日など、推測されやすい文字列を使わないこと」(70.3%)、「文字数は8文字以上であること」(67.2%)と、パスワードの設定条件について7割が正しい認識を持っていることが明らかになった。
|
パスワードに関する知識 資料:IPA |
金銭に関連したサイトを利用する際に実際設定しているパスワードは「ランダムな英数字の組み合わせ」が26.8%と最多だった。「名前にちなんだもの」(19.0%)や「誕生日にちなんだもの」(17.2%)など、推測されやすい文字列を使用している割合は2割弱で、安全だと認識されている「ランダムな英数字と記号の組み合わせ」を設定している割合は13.1%にすぎなかった。
|
パスワードの構成(金融に関連したサービスサイトの利用) 資料:IPA |
また、複数の金銭に関連したサービスサイトで「同一のパスワードを利用している」割合は25.4%と、金銭に関連したサービスであっても約4分の1の人がパスワードを使い回していることがわかった。
一方、サービス事業者については、運営するサイトにおいて、「パスワードを設定する際の最小桁数」が8桁未満の割合は58%、通販・物品購入サービスに限定すると、その割合は79.2%だった。
また、パスワードに使用可能な文字種」を「英字+数字+記号」としているサイトは11%で、「英字+数字」は69%と約7割を占めた。通販・物品購入に限定すると、「パスワードに使用可能な文字種」を英字+数字としている割合は9割に上る。
利用者に対し、利用しているショッピングサイトのセキュリティを確保するために認証方法を変更する場合の許容範囲をきいたところ、「8文字以上のパスワードの設定が必要」に回答した人が71.8%と最多だった。しかし、「12文字以上のパスワード設定が必要」に回答した割合は24.5%と、その許容度は一挙に低くなった。
これより、IPAは利用者にとって安全のために許容できるパスワードは8桁以上12桁未満と考えられるとしている。加えて、他要素認証に対しても許容度が低いという結果も出ている。
|
認証方式の変更への考え方 資料:IPA |
