(画像提供: Getty Images)
- 弱いパスワード規則が世界中の主要ウェブサイトで危険な習慣を生み出している
- 重要な業界でも、機密ユーザーデータを扱いながら時代遅れの要件に依存している
- 自動化された攻撃は、ウェブサイトが適応するよりも早く安全でない認証情報を悪用する
多くのユーザーが複数のアカウントで強力なパスワードを作成するのに苦労しているのは、広範なデジタルエコシステムが安全な選択を促すことがほとんどないためだと、新たな調査が主張しています。
本日発表されたNordPassのレポートは、現在最も訪問されている世界のウェブサイト1000件を調査し、ほとんどのプラットフォームが依然として短く予測しやすいパスワードを許可していることを明らかにし、弱い習慣が時間とともに常態化する状況を生み出しています。
主要なウェブサイトで規則の施行が不十分なことが、攻撃者がその隙を突くはるか前からユーザーの行動を形作っており、現行の基準は現代のセキュリティ事情を反映していません。
重要業界における規則施行の弱さ
「インターネットは私たちにログイン方法を教えてくれますが、何十年もの間、間違った教訓を教えてきました。もしサイトが“password123”を受け入れるなら、ユーザーはそれで十分だと学んでしまいますが、実際はそうではありません」とNordPassのプロダクト責任者Karolis Arbačiauskas氏は述べています。
このレポートは、ウェブサイトがパスワード保護に取り組む方法に大きな不一致があることを明らかにしており、機密情報を扱う分野ほどパフォーマンスが悪いことが多いとしています。
政府、医療、食品関連のサイトは、最も弱いポリシー要件を示しており、これらの業界が高リスクデータを管理しているにもかかわらずです。
残念ながら、これらのプラットフォームは特に無料ウェブサイトデザインや簡易セットアップモデルを提供する場合、オンボーディングの容易さを重視することがあります。
NordPassの報告によると、テストしたウェブサイトの58%が記号なしのパスワードを許可し、42%が最小文字数の制限を設けておらず、11%はまったく制限がありませんでした。
最良の実践基準を満たしているのはわずか1%で、長く複雑な組み合わせを要求し、文字種や大文字小文字の区別を求めています。
つまり、多くのプラットフォームが進化する脅威のペースに追いつかない、時代遅れの認証ポリシーで運用されていることになります。
分析はまた、認証技術の導入がウェブ全体で不均一なままであり、ユーザーのセキュリティにさらなる不一致を生み出していると指摘しています。
ウェブサイトの39%がシングルサインオンをサポートしている一方で、パスキーを実装しているのはごくわずかであり、パスキーは従来のパスワードよりも堅牢かつユーザーフレンドリーです。
「セキュリティはパートナーシップであるべきです。ウェブサイトは明確なルールや視覚的なインジケーター、あるいはパスキーのような最新の認証を通じて、より良いデザインでユーザーを導くことで安全な習慣を形成できます」とArbačiauskas氏は続けます。
NordPassは、認知された基準で定義された最も厳格な基準を満たすウェブサイトがわずか5件しかないことを特定し、安全な設計原則の普及が非常に遅いこと、そして高度な手法の採用が限定的であることが、セキュリティの断片化を招いていると示しています。
このレポートは、規則の施行が弱いと、自動化された攻撃がより高速かつ容易に行われる時代に、ユーザーがより脆弱になると警告しています。
不一致な要件は、AIツールが容易に悪用できる攻撃対象面を生み出します。
また、AIによるウェブサイトビルダーを含む簡易公開システムへの依存は、セキュリティチェックが後回しにされることでポリシー施行を弱める可能性があります。
これらの弱点は個人だけでなく、低品質なパスワードが複数のシステムで再利用されることで、企業や業界、政府にも影響を及ぼす可能性があります。
したがってデジタル衛生を強化するには、ユーザーの意識だけでなく、規則を定めるプラットフォーム側の構造的な変化が必要です。
規則施行が緩いことの補完策として、ユーザーはパスワードマネージャーなどのツールを使って安全な認証情報を生成することにますます頼るようになっています。
「パスワードのずさんな扱いは突然現れたものではありません。ウェブサイトが強力な認証情報を求めなくなると、ユーザーもそれを作らなくなります。私たちが本当に見ているのは、インターネットユーザーと開発者の両方における文化的な変化なのです」とArbačiauskas氏は述べています。
