「予測されやすいパスワード」有名サイト75%で許可 米プリンストン大が警鐘:Innovative Tech
米プリンストン大学の研究チームは、Webサイトで新しくパスワードを設定する際にユーザーが保護される仕様になっているかを調査し考察した論文を発表した。世界で最も人気のある英語圏のWebサイト120のパスワードポリシーを調査した。
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
米プリンストン大学の研究チームが発表した「Password policies of most top websites fail to follow best practices」は、Webサイトで新しくパスワードを設定する際にユーザーが保護される仕様になっているかを調査し考察した論文だ。世界で最も人気のある英語圏のWebサイト120のパスワードポリシーを調査した。
結果は、120サイト中13%しかベストプラクティスではなかった。具体的には、75%のWebサイトが「abc123456」や「P@$$w0rd」のような最も推測されやすいパスワードの選択を許可しはじかなかった。
また45%が数字や特殊文字などの特定の文字クラスをパスワードに要求することでユーザーに負担をかけており、セキュリティ上のメリットがなかった。さらにパスワードの強化に役立つとされるパスワード強度計の導入率は低く、19%にとどまっていた。
調査目的と方法
過去20年間にユーザー認証の方法が進歩したとはいえ、オンライン・アクセスにパスワードが不可欠であることに変わりはなく、近い将来にパスワードを置き換えることは不可能であると思われる。このような理由から、オンラインサービスはパスワードのセキュリティとユーザビリティに焦点を当てる必要がある。
これを促進するために、Webサイトは主に、ブロックリスト、強度計、Password Composition rules/Policies(PCP)という3種類のパスワード作成時の介入方法を用いている。ブロックリストとは、漏えいしたパスワードや簡単に推測できるパスワードのリストと照合して別のパスワードを選択するように促すことを指す。
強度計とはパスワード入力時に、予測のされやすさを強度メーターで視覚的に提示してくれることを指す。PCPとは、例えばパスワードに最低8文字以上が必要、数字や特殊文字を組み合わせた複雑性が必要などのパスワードを強化する決まりごとを指す。
先行研究では、ブロックリストと強度計を正しく設定した場合、ユーザーに大きな負担をかけることなくより強いパスワードを作成するよう導くと結論付けられている。一方で、特定の文字クラス(小文字、大文字、数字、記号など)を要求するPCPはユーザーへの負担が大きいため推奨されていないといわれている。
今回はこれら3種類の観点からセキュリティとユーザーにとってベストプラクティスなパスワード設定方法がWebサイトで取られているのか、世界で最も人気のある英語圏のWebサイト120(アクセス期間は2021年10月から2021年12月)のパスワードポリシーを調査し明らかにする。
具体的には、ブロックリストの作成が不十分であったり、PCPが旧式であったり、パスワード強度計が正しく設定されていないWebサイトを手作業で見つけ出しリストにする。
ここでいうベストプラクティスとは次の3つの条件を満たしているものとする。(1)推測されやすいパスワードのうち、最も一般的な40種類(漏えいした有名なパスワード20を含む)を5つ以内で許可している。(2)敵対者に推測されにくいパスワードを正確に測定するパスワード強度計を採用している。(3)パスワードの最小文字数7文字以上で、特定の文字クラスを要求していない。
調査結果
調査の結果、ベストプラクティスに従っているWebサイトはわずか15サイトだと分かった。具体的には、120サイト中97サイトが強度計を使用していなかった。強度計を使用していた23サイト中10サイトは、メーターを特定のタイプの文字へのナッジとして誤用しており、推測可能性の概念を組み込んでいなかった。
Webサイト120サイト中71サイトはパスワードを全くチェックせず、テストした推定されやすい一般的な40個のパスワード全てを許可していた。ブロックリストがあるサイトの内19サイトは、推定されやすい一般的な40個のパスワードの半分未満しかブロックしていなかった。
120サイト中54サイトでは、数字や特殊文字などの特定の文字クラスを必要としており、ユーザーに負担をかけていた。今回の結果から研究チームは、多要素認証(MFA)など他の認証技術の採用に関心を移し、パスワードポリシーを強化する必要はないと考えている可能性があると考察している。
今回調査した120サイトとその結果の詳細はこちらで公開されている。ベストプラクティスだったサイトでは、google.com、yahoo.com、tumblr.com、twitch.tv、opera.com、techcrunch.comなどが挙げられた。推測されやすいパスワード40個全てをブロックしたのは15のWebサイトだけで、google.com、adobe.com、twitch.tv、github.comが含まれた。
反対にベストプラクティスではなかったサイトでは、例えばamazon.comは最小文字数6で強度計もなく推測されやすいパスワードを一切はじかなかった。TikTok.com、Netflix.com、dropbox.com、Walmart.comなども推測されやすいパスワードを一切はじいていなかった。
また、54のサイトは大文字と小文字、数字、記号を特定に組み合わせた複雑なパスワードをユーザーに作成させていた。これらには、microsoft.com、apple.com、adobe.com、vimeo.com、paypal.comが含まれた。
Source and Image Credits: Kevin Lee, Sten Sjoberg, and Arvind Narayanan.“Password policies of most top websites fail to follow best practices”
関連記事
- ウイスキーの中に浮かぶ食べられるタグ スマホで読み取り偽物か判別 医薬品などにも応用可
米パデュー大学、韓国の金烏工科大学校、韓国のNational Institute of Agricultural Sciencesの研究チームは、ウイスキーが偽物かどうかを明らかにする二次元コード付きの食用タグを開発した。 - 動画の雑音をほぼ消す技術、米国などのチームが開発 声のみが強調されすぎてアフレコみたいな結果に
米Dolby LaboratoriesとスペインのUniversitat Pompeu Fabraの研究チームは、収録した映像のバックグラウンドノイズ(背景雑音)を強力に除去する技術だを開発した。 - Bluetoothから個別のスマートフォンを識別し追跡するサイバー攻撃 米国チームが論文発表
米University of California, San Diegoの研究チームは、Bluetoothの脆弱性を突いて、スマートフォンを識別し追跡できることを実証した論文を発表した。 - 「バラバラにするのが難しすぎる」――高難易度の3Dパズルを自動設計する技術
シンガポールとスイス、オーストリアによる研究チームは、高度な3Dパズルを設計するためのボクセルベースの計算フレームワークを開発した。ユーザーはパズルの形状やピース数、難易度などを指定でき、独自の3Dパズルを設計できる。 - 食べ物をARで青色にしたら食欲は減る? 公立はこだて未来大が検証
公立はこだて未来大学平田竹川研究室の研究チームは、シースルー型HMD(ヘッドマウントディスプレイ)を用い、食事中の食べ物にARで青色フィルターをかけると食欲や空腹度はどうなるかを検証した論文を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.