- 2015年と2025年のパスワードサンプルが比較されました
- パスワードセキュリティは向上していますが、まだ再利用されています
- ユーザーはユニークなパスワードを覚えるのに苦労しています
認証情報の保護を容易にするための多くのツールの登場にもかかわらず、過去10年間のパスワード習慣では十分な変化がありません。
サイバーセキュリティ研究者のJeremiah Fowlerは、2015年から2025年の膨大なパスワード漏洩と比較して、どのような習慣が変わったのか(あれば)を理解しています。
調査結果は、2025年のセキュアなパスワードの推奨実践が人間の記憶と相容れないことを示しています。
記事を続ける
パスワードのトレンド
Fowlerが分析したサンプルによると、過去10年間、パスワードの15%のみが本当に複雑なパスワード、つまり少なくとも12文字の長さで大文字と小文字、数字、記号で構成されており、構造やパターンがないものとして分類できることが示されています。
残りの85%のパスワードは、簡単または予測可能と考えられています。これらは、名前、記憶に残るフレーズ、または一般的な構造(「password」、「admin」、「qwerty」)を含むパスワードで、数字と特殊文字が付加されています。パスワードで記憶に残るフレーズと構造を使用することの問題は、ブルートフォース攻撃にはるかに脆弱になることです。
良いニュースは、キーボードウォーク、ウォーターフォール、および空間パターンパスワード(「qwertyuiop」など)を含むパスワードが2015年以来15%~20%減少していることです。同様に、「admin」や「password」などのキーワードも同じ割合で減少しています。
パスワードジェネレーターによって作成されたと見られるパスワードの数は、約10%~12%増加しています。ただし、すべてのパスワードに対して1つの重大な弱点が残っています。
Fowlerは、平均的な人物がすべてのオンラインアカウントにわたって約168個のパスワードを持っていることを発見した2024年の研究を引用しています。これらの各アカウントに対して強力でユニークなパスワードを覚えることは、平均的な人には単に不可能であり、したがって人々は強力なパスワードが持つ可能性のあるセキュリティを、複数のアカウントにわたってそれを再利用することによって削除してしまいます。
「私たちはしばしば、セキュリティよりも利便性を選択して、自分たちのリスクでパスワードに対する怠け者のアプローチを取ります」とFowlerは説明しました。
「強制されたパスワードの複雑さルールでさえ、複数のアカウントで再利用されたり、データ侵害で公開されたり、マルウェアによって侵害された場合、銀の弾丸ソリューションではありません。犯罪者がより洗練されていることは事実であり、サイバー犯罪におけるAIの使用は増加しており、我々の認証情報をより保護する必要があります。」
すべてのオンラインアカウントを保護する最良の方法は、パスワードマネージャーを使用することです。選択できる多くの有料サービスがあり、多くのブランドもアカウントを安全に保つために無料のパスワードマネージャープランを提供しています。
認証アプリを使用することで、別のデバイスまたは生物認証識別子を通じた検証の2番目の方法を必要とすることによって、アカウントセキュリティを強化することもできます。
