Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

危険なパスワードは7割変更されない

Googleが今年2月にリリースしたChrome向けの拡張機能(無料です)であるPassword Checkupに関する記事が出ていました。大変興味深い調査データです。

japan.zdnet.com

 

 危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し新たに設定されたパスワードの6割は堅牢だった――。Googleは8月15日、2月にリリースしたChromeブラウザの拡張機能「Password Checkup」に関するレポートを公開した。ユーザーに対するセキュリティ通知は、適切な行動を促す上で効果的な役割を果たすようだ。

 Password Checkupは、ユーザーが実際にログインフォームで入力したユーザー名とパスワードについて、Googleが第三者の情報源などをもとに把握している、過去に情報が漏えいした40億件以上のユーザー名もしくはパスワードと照合することで、危険な場合はユーザーに警告を表示してくれる。

 同社によれば、Password Checkupの利用者は65万を超え、最初の1カ月で2100万件のユーザー名とパスワードを検査した。このうちの1.5%に当たる31万1000件について警告を行ったという。

(ZDnet記事より引用)

 

■公式発表 Protecting accounts from credential stuffing with password breach alerting

 

 

◆キタきつねの所感

私は海外サイトを調べる時にGoogle翻訳利用が便利なのでChromeも良く使っており、この拡張機能も入れてますが、Chromeに覚えさせたパスワードを、外部のパスワード漏洩データと安全に比較して、登録サイトが「危険なパスワード」になっていないかどうかを教えてくれる拡張機能Googleスタンフォード大学が共同開発した「Password Checkup」です。

chrome.google.com

 

同様なサービスとして当ブログでも良く出てくる「Have I Been Pwned」(NotifyMe)に登録しておくとメールアドレスが漏洩したとマッチングしたら教えてくれるサービスがありますが、Chromeをよく使っている方にはどのサイトが危険なのか(変更の必要があるのか)後からでもわかりますので、インストールすると便利かと思います。

 

あまり会員サイトのパスワードをChromeに登録してないので、当然と言えば当然なのですが、漏洩が無ければ、アイコンが緑で、Web上に表示され(アイコン表示している場合)

f:id:foxcafelate:20190817070030p:plain

そこをクリックすると現在の状況がわかります。

f:id:foxcafelate:20190817064808p:plain

 

自分の場合、危ないパスワード表示が出てきた事がないので(警告画面が出せないので)、、Googleの英語表示画面を貼りますが、訪問した(かつChromeにパスワード登録した)サイトでは、下記のようなパスワード変更警告通知が出る様です。

f:id:foxcafelate:20190817064003p:plain

 

 

レポートのサマライズとしてZDnet記事で紹介されていたのが、サービス分野別での「危険なパスワード使用率」です。政府系や金融系では、過去に漏洩した様な危険なパスワードを使っているケースは少なく、反面エンターテイメント(Netflix等々でしょうか)やニュース、ショッピングサイトでは数字が高く、危ないパスワードを使っている、つまり脆弱なパスワードを使い回しているユーザが多い事が分かります。

 

ï¼åºå¸ï¼Googleï¼

 

元レポートを見てみると、こんな感じです。Warning Rateが上記のような警告が出た比率という事の様です。

f:id:foxcafelate:20190817063646p:plain

 

しかし、気になったのは記事には無い数字部分です。「Ignore Rate」(無視比率)は・・・現在パスワードが置かれている現状が、何故そうなったのかを表している気がします。

 

この数字はつまりパスワードが危険ですよ、という表示をPassword Checkupが出したにも関わらず、ユーザが何もしなかった事を表している事になります。

※例えば金融分野(Finance)で見ると、0.3%が危険なパスワード指摘をされて、0.3%の内、18.6%がその警告を無視した事になります。

 

最もパスワードの使い回しの多いエンターテイメント(Entertainment)では、危険なパスワード指摘が出された6.3%の内、27.1%が無視した事になり、、、つまり危険なパスワードを使っているエンターテイメントユーザの1.7%は危険なパスワードのままである事を意味しています。

f:id:foxcafelate:20190817064516p:plain

 

最も無視比率の高いのはアダルトユーザですが、4割弱(38.5%)は警告を無視する・・・1カ月の調査データではありますが、いくらサービス事業者が「パスワードの使い回し」に警鐘を鳴らしても、パスワードが使い回されていると言えそうです。

全体を通してデータを俯瞰すると、危ない状況である事に気づいても放置するユーザが金融であれ政府系であれ一定割合存在するパスワード問題が抱える「闇」が浮き出た調査結果と言えるかも知れません。

 

元のZDnet記事でも、「Password Checkupのおかけで26%もパスワード変更した」とも読めるデータが紹介されていますが、逆の見方をすれば警告を出しても7割以上が変更してない事になります。

 

 危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し新たに設定されたパスワードの6割は堅牢だった――。Googleは8月15日、2月にリリースした

(ZDnet記事より引用)

 

更に言えば、「変更ユーザの6割は堅牢なパスワードを設定した」のは「4割が脆弱なパスワードを再設定した」事に他なりません。

 

この調査データを見る限り、ユーザへの啓もう活動(パスワードは使い回ししてはいけない・・・)はもちろん重要な事ですし、今後も続けていくべきだと思いますが、中長期のパスワードの延命を考えるよりも、FIDO2等の生体認証に早く移行すべきと言えるかも知れません。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 

f:id:foxcafelate:20190817072823p:plain


 

更新履歴

  • 2019年8月17日AM(予約投稿)