セキュリティ

Malwarebytes、多くの主要なWebサイトで弱いパスワードの使用を許可していることについて注意喚起を発表

Malwarebytesは11月29日(現地時間)、多くの主要なWebサイトで弱いパスワードの使用を許可していることが判明したと発表した。

この発表は、ジョージア工科大学の調査結果の報告「Largest Study of its Kind Shows Outdated Password Practices are Widespread」をベースとしたものとなっており、同社は注意を呼びかけている。

ジョージア工科大学のメンバーは、100万件のWebサイトとページのデータベースであるGoogle Chromeユーザエクスペリエンスレポート「CrUX: Chrome User Experience Report」のすべてのWebサイトを調査する自動評価ツールを作成し、これを活用することでパスワードポリシーの調査を行った。この調査では、2万以上のWebサイトにおけるパスワードポリシーの推測を行い、その結果多くのWebサイトで次のようなポリシーが採用されていることが判明したという。

〇非常に短いパスワードを許可している
〇脆弱なパスワードを拒否しない
〇すでに古くなった要件を求める

Malwarebytesは、適切なパスワードを定めた標準ガイドラインに準拠しているのは少数のWebサイトに留まるとしている。このような結果になったことについて、Malwarebytesはその理由を顧客満足度を重視しているためではないかと推測している。

Malwarebytesはこのような状況を改善するため、ユーザにパスワードの作成を求める現在主流となっている仕組みを完全に改める必要があるとしている。よりセキュアでユーザフレンドリーな認証方式としては「パスキー」があり、Webサイトはこのパスキーを利用した仕組みを受け入れることが好ましく、パスキーの導入が難しい場合は多要素認証(MFA: Multi-Factor Authentication)の導入を推奨している。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事