Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

アメリカ人の約4割は恥ずかしいパスワードを使っている

なかなか面白い調査データが公表されていました。アメリカ人のパスワードは、あまり口外出来ないものが使われている様です。

www.beyondidentity.com

重要なポイント
・3分の1以上の人が、自分のパスワードの1つを声に出して言うのを恥ずかしく思うでしょう。
・50%の人が自分の記憶に頼ってパスワードを思い出し、3人に1人がペンと紙で追跡しています。
・10人に1人が中学または高校から同じパスワードを使用しています。

 

キタきつねの所感

Info Security Magazineの記事で取り上げられていました。

※最近ここのリンクが拾い難くなったので、元ソースの記事を上記に貼っておきます。

 

調査結果をいくつかご紹介すると、パスワード漏えい経験で幸いにして「経験した事がない」(※気づいてないだけかも知れませんが)と回答したのは全体の1/4に過ぎません。つまり米国人の74%がパスワード漏えい被害に遭っているという事になります。

f:id:foxcafelate:20210702121648p:plain

 

パスワードの使い回しについては、世代別でデータが出ていますが、「Extremely」「very」と頻繁に”使い回している”人は47%と凡そ半分です。

この中身を見ると、若い世代がパスワードを使い回している傾向が表れています。

f:id:foxcafelate:20210702121930p:plain

 

これも気になるデータです。68%の方配偶者又はパートナーにパスワードを”共有”している様です。友人、親、兄弟、ルームメート、同僚・・・この数字が米国特有である事を祈りますが、ほとんどのアメリカ人はパスワードを他人と共有している様です。

f:id:foxcafelate:20210702122505p:plain

 

パスワードの保管場所で、凡そ1/3の方が、紙とペン(紙の手帳等)にパスワードを保管していると回答しています。

これは一見悪い事の様に見えますが、私は保管管理のリスクは懸念されるものの、サイバー攻撃が全盛のこのご時世では、手帳でのパスワード管理は、パスワードを使い回しする事よりもリスクが低い気がします。

f:id:foxcafelate:20210702123013p:plain

 

この記事のタイトルにもなっている設問ですが、肝心のパスワードに関して、38%(約4割)が、パスワードを声に出して言うのは恥ずかしいと思う、と回答しています。

f:id:foxcafelate:20210702123634p:plain

 

て調査ではその恥ずかしい”中身”についても聞いています。①ニッチな趣味 ②家族の名前 ③冒涜(汚い言葉) ④恋愛対象の名前 ⑤簡略化しすぎ と回答が続いていますが、上の年代(Baby boomers, Gen Z)の約半分は、特に恥ずかしいパスワードは使ってないと回答している事を考えると、若い世代における恥ずかしいパスワード”利用率”が、かなり高いのだと思われます。

f:id:foxcafelate:20210702123855p:plain

 

調査データはまだ続いているのですが、この記事での引用の最後は、パスワードをどの位使っているかという設問です。10人に1人は少なくても1つのパスワードを中学~高校時代から使っていると回答している事、この事もなかなか見た事が無いデータでした。

f:id:foxcafelate:20210702124717p:plain

 

SNS等に情報公開をしていなければ、趣味や、自分の身近な方の名前やペット等の情報を使ったパスワード生成は、覚えやすさという面で悪くない選択肢だと思います。しかし、SNSでの情報発信は今や当たり前になってきている事を考えると、手がかりがネット上に多数あるという事実も考慮すべきで、せめて”1工夫”して「恥ずかしくない」形にパスワードを変えていく事も良いのではないかと思います。

 

全てはご紹介できませんでしたが、Beyond Identity社の今回の調査データは、米国のデータではありますが、システム管理者の方にとって気づきが多い良レポートだと思います。

 

余談です。

こうしたパスワードに関する調査データは、日本ではほとんど見かけませんが、日本企業・組織が「過度に」従業員・職員のパスワード管理を信じている場合、他山の石として、この結果を笑っていられないかと思います。

頻発する不正アクセス事件から考えると、少数でない従業員は”容易に推測できるパスワード”を”使い回している”と考える方が現実的です。

※そんな暇は無いと言われそうですが、システム管理者の方は自組織のパスワードリスト(ハッシュ保護)をレインボーテーブルでチェックしてみると、衝撃的な結果を目の当たりにするかも知れません。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 パスワードを忘れた人のイラスト(スマホ)

 

更新履歴

  • 2021年7月2日 AM