文字数、種類、変更頻度…パスワード事情を探る
2014/04/25 14:30
ウェブ上で行える個人向けサービスが増えるに従い、自分自身であることを確認するために必要となるIDとパスワードの組合せも増えてくる。家の鍵、部屋の鍵、自転車の鍵、バイクの鍵、ロッカーの鍵のように、施錠する場所が増えるのに従い、物理的な鍵の所有数が増えるのと理屈は同じ。それではそれらサービスの機密を維持するのに欠かせないパスワードは、どのような状態のものが使われているのだろうか。ライフメディアのリサーチバンクが2014年4月23日に発表した調査結果を基に、3つの切り口から確認していくことにする(【発表リリース:パスワード管理と認証に関する調査】)。
スポンサードリンク
今調査は2014年4月9日から15日にかけてインターネット経由で10代から60代の男女に対して行われたもので、有効回答数は1200件。男女比・世代構成比は10歳区切りで均等割り当て。
ウェブサービス上で自分自身であることを証明する、施錠された住宅ならばそのドアを開けるのに必要な鍵に相当するパスワード。そのパスワードはどのような状態のものが用いられているのか。まずは文字数について尋ねている。無論文字数は多い方が安全度が高まるが、その分暗記が難しくなるし、入力の手間もかかる。さらにサービスによっては8文字や6文字程度に入力文字数が限られるところもある。
↑ ログインが必要なウェブサイトで使うパスワードの平均的な文字数
さすがに5文字以下はごく少数だが、6文字から7文字に留めている人が2割強、そして8文字から9文字が過半数の5割強、10文字以上は2割足らずでしかない。サービス提供側で8文字程度しか入力を受け付けない事例もあるため(昔はむしろこの程度の方が多かった)、つい8文字程度に留めてしまうのを習慣にしてしまったというあたりだろう。昨今ではパスワードの決定の際に安全度・パスワードの強度を自動的に表示するところもある。8文字では強度が弱から中程度に収まるのがオチ。暗記や入力の際の手間はかかるが、是非ともより長い文字列で設定してほしい。
男女別では女性の方が短いパスワードを求める傾向がある。別項目で男性よりも女性の方がパスワード管理の際に「記憶する」という回答率が低かったこともあわせ、女性はパスワードの利用・記憶が苦手な感はある。
パスワードそのものの強度の観点では、使用文字種類の多様化も欠かせない。もちろんサービス側の対応が前提となるが、例えば「ABCDE」ならばアルファベット大文字だけなので1種類、「AbCdE」ならば大文字・小文字で2種類、「AbC12」ならば大文字小文字に加えて数字も使っているので3種類といった次第である。
↑ ログインが必要なウェブサイトで使うパスワードは異なる文字種類を使っているか
2種類との回答がもっとも多く7割強、3種類以上は1割強、1種類のみは1割ちょっと。恐らくはアルファベットと数字の組合せ、またはアルファベットの大文字小文字の組合せというところだろう。大文字小文字は暗記するのに難儀してしまうので、数字との組み合わせの方が多いかもしれない。
男女別では女性の方が少種類数回答の値が高い。この点でも女性が男性と比べてパスワードにおけるセキュリティのリスクが高い状態にあることがうかがえる。
最後はパスワードの変更頻度。同じパスワードを利用していると、何らかの形で漏えいした場合、それを使われる可能性が高くなる(パスワードの漏えいは、概してそれを用いられるまで分からない。物品の盗難と異なり、パスワードそのものが消失することは無いからだ)。そのためにも、リスク軽減という観点では定期的な変更が望ましい。
↑ ログインが必要なウェブサイトで使うパスワードをどのくらいの頻度で変更しているか
定期的に更新する頻度としては半年から1年に一度というパターンが多く、数か月に一度より高い頻度での変更は少数派。むしろ何かあったら変更するが、それ以外では定期的な更新をしない、さらには警告があっても変更はしないという人が多数を占めている。概算で定期的なパスワード変更派・警告が来て初めて変更する派・何があっても変更しない派で三分されているというところか。
男女別では月に複数回変更するという、非常に気を使う事例で女性の方が多い一方、それ以外の項目では概して女性の方が定期的なパスワードの変更に関しては否定的な感が強い。上記2事例などにもあるように、管理について難儀を覚えやすいのだろう。
冒頭で事例として挙げた物理的な施錠場所の鍵ならば、総当たりをする場合には多数の鍵が必要になる。ナンバーロック式ならその数字に関して総当たり分のチェックをしなければならない(4ケタならば最大で1万回)。しかしながらデジタル上のパスワードなら、プログラムを用いることで容易に、そして物理上の鍵と比べれば瞬時に総当たりを成すことができる。デジタル上の施錠ことIDとパスワードによる認証は、便利ではあるが同時にリスクも高くなる。
少しでもそのリスクを減らすには、パスワードを容易に想像させない(例えば生年月日など)、的中させないような(例えば123456といった数字の羅列)ものにせず、定期的に変更することが望ましい。少々の不便さは生じるが、万が一に生じる損失を考えれば、容認できるはずだ。
■関連記事:
【190万人がパスワードに「123456」を使用、アドビの情報流出で判明】
【イギリスのネット利用者の55%「ほとんどのサイトで同じパスワードを流用する」】
【2013年でもっとも人気のある、そして危険なパスワードは「123456」】
【パスワード管理方法、8.5%は「書いた紙をパソコンなどの周囲に貼る」】
【ウェブ上でのログイン、パスワードを全部共用している人は1割強】
スポンサードリンク