Malwarebytesは10月2日(米国時間)、「Why (almost) everything we told you about passwords was wrong」において、パスワードの再利用が止まない理由に、パスワード管理に対するセキュリティ専門家の誤診があると伝えた。Malwarebytesのセキュリティ専門家がパスワードの使い回しを止めるようどんなに助言したとしても実現しない理由が説明されている。
ユーザーに対してアカウントごとに固有パスワードを使用するよう勧めることは、セキュリティ専門家の仕事とされている。パスワードの再利用は、サイバー犯罪者が盗んだパスワードのリストを悪用して他のWebサイトに侵入するクレデンシャルスタッフィング攻撃につながる危険性があるためだ。しかしながら、ユーザーにパスワードの再利用をやめるように促しても、うまくいっていない現状がある。その理由は、セキュリティ専門家がこの問題を誤診してきたからと、Malwarebytesは結論づけている。
コンピュータおよびインターネットの利用の増加とともに、ユーザーが覚えなければならないパスワードの数も急増している。パスワードマネージャを開発しているベンダーの調査によると、1人のユーザーが利用しているパスワードは100個ほどに達しているという。そんなに多くのパスワードを覚えておくことは不可能であり、さらに覚えておく必要のあるパスワードの数は今後も増加する可能性が高いとされている。
つまり、アカウントと記憶できるパスワードの数のギャップが増加する中、ユーザーは理にかなった方法としてパスワードを覚えやすくするために脆弱にし、書き留め、再利用したと分析している。
Malwarebytesは、セキュリティ専門家がユーザーの行動を変えるよう助言するために時間を費やすのであれば、一つに絞るべきであるとし、ユーザーが使用するパスワード、保存場所、使用頻度について心配することなく、パスワードのセキュリティに大きな変化をもたらすことができるものとして多要素認証(MFA: Multi-Factor Authentication)を挙げている。
多要素認証を利用することで、クレデンシャルスタッフィング攻撃だけでなく、パスワードスプレー攻撃やブルートフォー攻撃などを完全に排除できるとしており、多要素認証を使用していないところを見つけて設定するよう、助言している。