Malwarebytesはこのほど、「Many major websites allow users to have weak passwords|Malwarebytes」において、多くの主要なWebサイトで弱いパスワードの使用を許可していることが判明したと伝えた。これはジョージア工科大学で行われたパスワードに関する大規模な調査結果の報告「Largest Study of its Kind Shows Outdated Password Practices are Widespread | College of Computing」を考察したもので、脆弱なパスワードの利用が広く許可されていることに注意を呼びかけている。

  • Many major websites allow users to have weak passwords|Malwarebytes

    Many major websites allow users to have weak passwords|Malwarebytes

ジョージア工科大学の研究者らは100万件のWebサイトとページのデータベースであるGoogle Chromeユーザーエクスペリエンスレポート(CrUX: Chrome User Experience Report)内のすべてのWebサイトを調査する自動評価ツールを作成し、これを活用することでパスワードポリシーの調査を行っている。この調査により、2万以上のWebサイトでパスワードポリシーの推測に成功し、多くのWebサイトで次のパスワードポリシーが採用されていることがわかったという。

  • 非常に短いパスワードを許可している
  • 脆弱なパスワードをブロックしない
  • 複雑な文字などの古い要件を求める

この調査により、パスワードの標準ガイドラインに準拠しているのは少数のWebサイトだけであることが判明したという。Malwarebytesは多くのWebサイトがこの調査結果のように自由なパスワードの利用を認めているのは、顧客満足度を重視しているためと指摘している。

多くのユーザーはパスワードに好意的ではなく、定期的なパスワードの変更を求めるWebサイトなどを煩わしく感じている。このため、多くの企業ではビジネスを成功させるために、ユーザーの安全性よりも利益を優先して自由なパスワードを許可しているというわけだ。

Malwarebytesはこのような状況を改善するため、ユーザーにパスワードの作成を求める現在主流の仕組みを完全に移行する必要があるとしている。より安全でユーザーフレンドリーな認証方式として「パスキー」が既にあり、Malwarebytesはパスキーをもっと広く受け入れるべきとしてWebサービスにユーザー認証を使用している企業に積極的な導入を推奨している。

パスキーの導入が難しい企業に対しては、多要素認証(MFA: Multi-Factor Authentication)の導入を推奨している。強力なパスワードの利用をユーザーに求めないWebサイトにおいても、適切な種類の多要素認証が導入されていれば高い保護が期待できるといわれている。また、Webサイトの利用者で強力なパスワードの使用が困難、または煩わしいユーザーにはパスワードマネージャの活用が推奨されている。