脆弱なパスワードが許可されている有名サイト

2017.09.01

セキュリティ侵害が発生するのは、ユーザーが選択した脆弱なパスワードが原因だとよく言われます。しかし、企業側にも Web サイトのパスワード設計が脆弱であるという点で責任があるのではないでしょうか。


パスワードマネージャーを提供している Dashlane 社(リンク先:英語)が 37 件の著名な Web サイトおよびアプリのパスワード設計を評価した結果、「多くのサイトは非常に優れており、いくつかのサイトは改善に向かっているが、最大規模のブランドを含む大手企業のサイトは驚くほどずさんである」という見解を発表しています。


念のため申し上げておくと、Dashlane のコアビジネスはパスワード管理用のソフトウェア製品であり、脆弱なパスワード設計を指摘することで得られるメリットがあります。


だからといって、Dashlane の調査結果が無意味な訳ではありません。この調査は、パスワードの最小文字数、英数字パスワードの強制、強度チェックの有無、ブルートフォース攻撃への耐性 (間違ったパスワードを何度も入力した場合にアカウントをロックするかどうか)、多要素認証が使用可能かどうか、の 5 つの基準で評価しています。


具体的な社名を挙げますが、その結果に驚かれると思います。


得点が 0 (0/5) だったのは、Uber、Spotify、Pandora、Netflix です。Walmart、Instagram、Pinterest、SoundCloud、Evernote、Macy’s、Dropbox、さらには Amazon Web Services (AWS)、Freshbooks も 1/5 でした。MongoDB と DocuSign は 2/5 です。


つまり、ユーザーは 8 文字以下の簡単なパスワード (たとえば「aaaaaaa」) を入力してもこれらのサイトにログインできるということです。攻撃者がブルートフォース攻撃を試みて失敗しても、攻撃が阻止されるとは限りません。


とはいえ、ユーザーは長くて複雑なパスワードを作成して、サイトをより安全に使用することができます。問題は、こうしたサイト側にあります。


上記のサイトとは対照的に、GoDaddy は 5/5、Apple、Best Buy、Home Depot、Microsoft、PayPal、Skype、Toys ‘R’ Us、Tumblr は 4/5 を獲得しています。


Dashlane の CEO、Emmanuel Schalit 氏もユーザーはパスワードについて警戒する必要があると認めており、次のように述べています。


企業は自社のユーザーに対して責任があり、より強固なパスワードを使用するようにユーザーを導く必要があります。


Schalit 氏の言うとおりで、脆弱なパスワードが入力された場合に対処する責任はサイト側にあります。そもそも、対策の導入がいかに簡単かを考えれば、問題になっている事自体が不思議です。


評価が低かったサイトは、Web サイトのセキュリティは Dashlane の評価基準よりも複雑だと反論するでしょう。その主張も間違ってはいません。たとえば、多要素認証は現在では不可欠なレイヤーとなっていますが、その強度はサイトごとに異なります。


また、あらかじめパスワードポリシーで定められている場合に、入力したパスワードが安全であるかどうかをサイト側がユーザーに知らせることの重要性については疑問を呈する人がいるかもしれません。


「パスワードポリシーが脆弱な企業は、再利用、フィッシング、盗用されないように適切なパスワードを選択することを重要視していないのではないか」と考える人もいるでしょう。また、「パスワードについて口うるさくするとユーザーが寄りつかなくなり、自社のサービス、特にモバイルアプリベースのサービスが利用されなくなる」と考える企業も存在します。


しかし、この見方はあまりに近視眼的です。優れたセキュリティの実現には、パスワードへのこだわりが欠かせません。パスワードはセキュリティの主要なメカニズムではなくなりつつありますが、パスワードを見れば、そのユーザーだけでなく、サイトを運営する企業のセキュリティに対する姿勢が分かります。


引用元

おすすめの記事はこちら