Googleが今年2月にリリースしたChrome向けの拡張機能(無料です)であるPassword Checkupに関する記事が出ていました。大変興味深い調査データです。
japan.zdnet.com
危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し、新たに設定されたパスワードの6割は堅牢だった――。Googleは8月15日、2月にリリースしたChromeブラウザの拡張機能「Password Checkup」に関するレポートを公開した。ユーザーに対するセキュリティ通知は、適切な行動を促す上で効果的な役割を果たすようだ。
Password Checkupは、ユーザーが実際にログインフォームで入力したユーザー名とパスワードについて、Googleが第三者の情報源などをもとに把握している、過去に情報が漏えいした40億件以上のユーザー名もしくはパスワードと照合することで、危険な場合はユーザーに警告を表示してくれる。
同社によれば、Password Checkupの利用者は65万を超え、最初の1カ月で2100万件のユーザー名とパスワードを検査した。このうちの1.5%に当たる31万1000件について警告を行ったという。
(ZDnet記事より引用)
■公式発表 Protecting accounts from credential stuffing with password breach alerting
◆キタきつねの所感
私は海外サイトを調べる時にGoogle翻訳利用が便利なのでChromeも良く使っており、この拡張機能も入れてますが、Chromeに覚えさせたパスワードを、外部のパスワード漏洩データと安全に比較して、登録サイトが「危険なパスワード」になっていないかどうかを教えてくれる拡張機能がGoogleとスタンフォード大学が共同開発した「Password Checkup」です。
chrome.google.com
同様なサービスとして当ブログでも良く出てくる「Have I Been Pwned」(NotifyMe)に登録しておくとメールアドレスが漏洩したとマッチングしたら教えてくれるサービスがありますが、Chromeをよく使っている方にはどのサイトが危険なのか(変更の必要があるのか)後からでもわかりますので、インストールすると便利かと思います。
あまり会員サイトのパスワードをChromeに登録してないので、当然と言えば当然なのですが、漏洩が無ければ、アイコンが緑で、Web上に表示され(アイコン表示している場合)
そこをクリックすると現在の状況がわかります。
自分の場合、危ないパスワード表示が出てきた事がないので(警告画面が出せないので)、、Googleの英語表示画面を貼りますが、訪問した(かつChromeにパスワード登録した)サイトでは、下記のようなパスワード変更警告通知が出る様です。
レポートのサマライズとしてZDnet記事で紹介されていたのが、サービス分野別での「危険なパスワード使用率」です。政府系や金融系では、過去に漏洩した様な危険なパスワードを使っているケースは少なく、反面エンターテイメント(Netflix等々でしょうか)やニュース、ショッピングサイトでは数字が高く、危ないパスワードを使っている、つまり脆弱なパスワードを使い回しているユーザが多い事が分かります。
元レポートを見てみると、こんな感じです。Warning Rateが上記のような警告が出た比率という事の様です。
しかし、気になったのは記事には無い数字部分です。「Ignore Rate」(無視比率)は・・・現在パスワードが置かれている現状が、何故そうなったのかを表している気がします。
この数字はつまりパスワードが危険ですよ、という表示をPassword Checkupが出したにも関わらず、ユーザが何もしなかった事を表している事になります。
※例えば金融分野(Finance)で見ると、0.3%が危険なパスワード指摘をされて、0.3%の内、18.6%がその警告を無視した事になります。
最もパスワードの使い回しの多いエンターテイメント(Entertainment)では、危険なパスワード指摘が出された6.3%の内、27.1%が無視した事になり、、、つまり危険なパスワードを使っているエンターテイメントユーザの1.7%は危険なパスワードのままである事を意味しています。
最も無視比率の高いのはアダルトユーザですが、4割弱(38.5%)は警告を無視する・・・1カ月の調査データではありますが、いくらサービス事業者が「パスワードの使い回し」に警鐘を鳴らしても、パスワードが使い回されていると言えそうです。
全体を通してデータを俯瞰すると、危ない状況である事に気づいても放置するユーザが金融であれ政府系であれ一定割合存在する、パスワード問題が抱える「闇」が浮き出た調査結果と言えるかも知れません。
元のZDnet記事でも、「Password Checkupのおかけで26%もパスワード変更した」とも読めるデータが紹介されていますが、逆の見方をすれば警告を出しても7割以上が変更してない事になります。
危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し、新たに設定されたパスワードの6割は堅牢だった――。Googleは8月15日、2月にリリースした
(ZDnet記事より引用)
更に言えば、「変更ユーザの6割は堅牢なパスワードを設定した」のは「4割が脆弱なパスワードを再設定した」事に他なりません。
この調査データを見る限り、ユーザへの啓もう活動(パスワードは使い回ししてはいけない・・・)はもちろん重要な事ですし、今後も続けていくべきだと思いますが、中長期のパスワードの延命を考えるよりも、FIDO2等の生体認証に早く移行すべきと言えるかも知れません。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴