ESETは10月22日(米国時間)、「Strict password policy could deter reuse across multiple services」において、大学におけるパスワードの利用状況に関する調査結果を引き合いに出し、パスワードの最小文字数が長い大学ほどパスワードが再利用される割合が低かったと伝えた。逆に、パスワードの最小文字数が短い大学では、パスワードの再利用率が40%だったという。
同じパスワードを複数のWebサイトで使い回すというパスワードの再利用(リユース)はセキュリティ上の大きな懸念になっている。パスワードの再利用を行っていると、どこかからアカウントデータが漏れた場合に同じパスワードを利用している他のすべてのサービスが危険が状態になるおそれがある。このため、セキュリティに関する機関や団体はパスワードを再利用しないことを推奨している。
ESETが取り上げている調査では、パスワードの最小文字数を15文字にしていたインディアナ大学では99.98%のユーザーがパスワードの再利用ができない状況だったとのことで、その効果の高さを紹介している。
研究者らは今回の調査を通じ、最小パスワード文字数を8文字以上にすること、パスワードの最小文字数を引き上げること、ユーザー名をパスワードに含めることを禁止すること、多要素認証を併用することなどを推奨している。
