ジョージア工科大学のメンバーは、100万件のWebサイトとページのデータベースであるGoogle Chromeユーザエクスペリエンスレポート「CrUX: Chrome User Experience Report」のすべてのWebサイトを調査する自動評価ツールを作成し、これを活用することでパスワードポリシーの調査を行った。この調査では、2万以上のWebサイトにおけるパスワードポリシーの推測を行い、その結果多くのWebサイトで次のようなポリシーが採用されていることが判明したという。

〇非常に短いパスワードを許可している
〇脆弱なパスワードを拒否しない
〇すでに古くなった要件を求める

Malwarebytesは、適切なパスワードを定めた標準ガイドラインに準拠しているのは少数のWebサイトに留まるとしている。このような結果になったことについて、Malwarebytesはその理由を顧客満足度を重視しているためではないかと推測している。

Malwarebytesはこのような状況を改善するため、ユーザにパスワードの作成を求める現在主流となっている仕組みを完全に改める必要があるとしている。よりセキュアでユーザフレンドリーな認証方式としては「パスキー」があり、Webサイトはこのパスキーを利用した仕組みを受け入れることが好ましく、パスキーの導入が難しい場合は多要素認証(MFA: Multi-Factor Authentication)の導入を推奨している。

(川原 龍人/びぎねっと)