複数のウェブサイトでパスワードを使い回すことは、お気に入りのオンラインサービスに数十ものアカウントを持つ多くの人にとって、今や一般的な行動となっています。しかし、この習慣は、ハッカーが単一の認証情報から複数のアカウントにアクセスできるようにすることで、セキュリティ侵害を助長しています。
ノースカロライナ大学コンピュータサイエンス学部の2人の教授は、ユーザーにウェブサイトごとに異なるパスワードの使用を強制し、全員の安全を少しでも確保する方法があると考えています。「ウェブ上でのパスワードの使い回しを終わらせる方法」という研究の中で、ケ・コビー・ワン教授とマイケル・ライター教授は、主要なウェブサイトが相互に連携し、「ユーザーがこれらのウェブサイトで似たようなパスワードを設定することを困難にすることで、今日のウェブにおけるパスワード使い回しの文化を打破する」ことを提案しています。
本質的に、Wang 氏と Reiter 氏は、ウェブサイトがユーザーのパスワードに関する情報を相互に共有することを望んでいます。
参照: パスワードポリシー (Tech Pro Research)
「ウェブサイト間で類似したパスワードの使用を防ぐための技術的対策を講じる可能性を検討する時期が来たと考えています」と、彼らは論文の中で述べている。「本論文では、その方法の一つとして、ウェブサイト間でパスワードの選択を調整し、同じアカウント識別子に類似したパスワードが使用されないようにする方法を提示しました。ただし、どちらの側もプロトコルで使用しているパスワードを相手に開示することはありません。」
教授陣は、この規模の課題の難しさは認めつつも、20の主要ウェブサイトが協力すれば、FacebookやGoogleといったプラットフォーム間で頻繁に発生するハッキングされたアカウントの範囲を限定できる可能性があると述べている。報告書によると、平均的なインターネットユーザーは、インターネット上の20の主要ウェブサイトに約4~5個のアカウントを持っているという。
「パスワードの使い回し文化を打破するためには、ここで提案するフレームワークを広く採用する必要はないことを認識することが重要です」と彼らは報告書に記している。「したがって、これらのウェブサイトだけが私たちのフレームワークを採用した場合、多くのユーザーが5つ以上の異なるパスワードを管理することを余儀なくされることになります。これは、ユーザーが自分で管理できる限界に達しているからです。」
論文の中で教授らは、適度な追加導入(たとえば最も人気のあるウェブサイトのトップ50にアクセスするなど)により、パスワードの再利用を完全に排除できる可能性があると記している。
教授たちは、設計に内在する重大なセキュリティ上の懸念を速やかに指摘し、具体的なアルゴリズムと安全対策を通じてこれらの問題に対処するために尽力しています。しかし、同じタイプのパスワード管理を継続することによる悪影響は、あまりにも大きな負担となります。
本調査で参照されているPonemonの調査によると、乗っ取られたアカウントを利用した詐欺行為は「調査対象組織1社あたり平均最大5,400万ドルの損失をもたらす可能性がある」ことが明らかになりました。企業は様々なセキュリティ対策に数百万ドルを費やさざるを得ず、それが問題を悪化させ、ユーザーをさらなるリスクにさらすことも少なくありません。Akamaiは2017年11月、ログイン試行の43%(83億回中36億回)が認証情報の不正使用によるものだという驚くべき結果を報告しました。
「この議論を始める私たちの目的は、パスワードの再利用はユーザーのセキュリティやプライバシーに過度の負担をかけずに技術的な手段で対処することはできないという、コンピューターセキュリティコミュニティの時代精神に疑問を投げかけることだ」と彼らは書いている。
教授たちは、パスワードの再利用を不可能にするのではなく、「再利用しないのと同じくらい難しくする」ことで、パスワードの再利用をほぼ根絶できると考えている。計画の具体的内容にもかかわらず、彼らはユーザーがこのようなことにどう反応するかを理解しつつある。
「この設計が実際に導入されれば、現在複数のウェブサイトでパスワードを使い回している多くのユーザーから(少なくとも一時的には)軽蔑以外の何物でもないと確信しています」と彼らは述べている。しかし、もし彼らの目標が達成されれば、パスワードの使い回しはなくなると彼らは強く信じている。「なぜなら、今日パスワードが使い回されているのは、ほぼ完全に利便性のためだからです。」
パスワードの再利用によるセキュリティ上のリスクは、ほとんどの人が同じウェブサイトで同じパスワードを使い続けることをまだ止めさせていません。最近、パスワード管理ウェブサイト LastPass が委託した調査では、調査対象者の 90% 以上が複数のアカウントに同じパスワードを使うのは危険だと理解していると回答しましたが、59% は依然としてほぼ常に異なるアカウントに同じパスワードを使用しています。
約50%が仕事用アカウントで使用しているパスワードと個人用アカウントで使用しているパスワードに違いはないと回答した一方、ハッキングされたとわかった場合にパスワードを変更すると回答した人はわずか55%だった。
テクノロジーリーダーにとっての重要なポイント:
- 2人の教授は、ハッカーが日々さらに多くの情報にアクセスできるようにしているパスワードの再利用を阻止する方法があると考えている。
- 彼らの計画には、インターネット上の最大手のウェブサイト20~50社が協力し、ユーザーにすべてのサイトで異なるパスワードを作成するよう強制することが含まれます。
