The Hacker Newsは9月8日、「Shopify Fails to Prevent Known Breached Passwords」において、Shopifyのパスワード要件が脆弱で既知の侵害されたパスワードを防止することができないというSpecopsによる調査結果について伝えた。

Specopsは10億個の既知の侵害されたパスワードを使用して主要な5つのWebサービスのパスワード要件を調査した。その結果、Shopifyのパスワード要件は極めて脆弱で、10億個のパスワードのほぼすべてがShopifyの要件を満たしていることが明らかになったという。

Shopifyは400万近くのWebサイトをホストしているeコマースプラットフォームである。そのユーザー登録時に求められるパスワード要件は「5文字以上で、先頭または末尾にスペースを含むことができない」というシンプルなもの。既知の侵害されたパスワード10億個のうち、99.7%のパスワードがこの要件を満たしていたという。これは、Shopifyのユーザーが極めて脆弱なパスワードを使い続ける可能性があることを示している。

The Hacker Newsは、「5文字以下」という脆弱な要件に対する別の側面の問題も指摘している。Shopifyのようなeコマースプラットフォームでは、小売業者に対して決済プロセスを代行するサービスを提供している。これによって顧客は自前の決済システムを持つ必要がなく、クレジットカード決済などのサードパーティの支払いシステムも手軽に利用することができる。主要なクレジットカード会社では、支払い処理を利用する条件として「ユーザー認証のための強力なパスワードの使用」を要求している。Shopifyのパスワード要件はこの条件を満たしていない可能性が高いという。

Specopsでは、Shopifyの他にZendesk、Trello、Stack Overflow、Mailchimpに対して、それぞれ同様の調査を行ったという。その結果、10億個の既知の侵害されたパスワードに対して、Zendeskでは98%以上が、Trelloでは87%以上が、Stack Overflowでは54%が、Mailchimpでは2%が、それぞれのパスワード要件を満たしていることが判明したという。多くのユーザーを抱えるZendeskやTrelloでさえ、パスワード要件がアカウントの安全性を保証するものでないことがわかる。

The Hacker Newsでは、eコマースの小売業者に対して、自社のネットワークでパスワードのセキュリティを向上させるために何ができるかを真剣に検討するように呼びかけている。Webサービスが指定するパスワード要件が不十分である可能性を認識し、より長くて複雑なパスワードを使用するように社内のセキュリティポリシーを設定することが重要となる。