catch-img

パスワードをブラウザに保存するのは危険か?他国と比較して実態とリスクを説明

サイバーセキュリティセキュリティ対策専門知識

はじめに

現代のデジタル社会では、パスワードをブラウザに保存したりパスワードマネージャーに保存する人が増えています。過去にはパスワードは紙に書いて自分で管理するべきという考えが主流の時代もありましたが、どう管理するのが安全なのでしょうか。本記事でそれらの実態とリスクについて詳しく解説します。

目次[非表示]

  1. 1.はじめに
  2. 2.日本のパスワード管理の現状
  3. 3.パスワードの使いまわし
  4. 4.多要素認証により軽減されるリスク
  5. 5.まとめ

日本のパスワード管理の現状

少し前の情報ですが、Proofpoint社が調査して発表した「State of the Phish 2022」によると、仕事で使うパスワードをブラウザに保存している日本人は27%となっています。アメリカの33%より少し低い数字になっています。グローバルの平均は23%ですから、アメリカほどではないにせよ日本の管理意識は高いといえます。
https://www.connection.com/media/edodvero/proofpoint-state-of-the-phish-2022.pdf?la=en&srsltid=AfmBOopzeJk-lAA_g0TYIKiyd4ovcaxgyyglORSeShVsGb2j_uRltMO6

しかし、パスワードマネージャーの使用については日本が19%でグローバルが21%ですので、平均よりも数字が落ちます。専用の管理ソフトを購入してまでの危機感は薄いようです。

昔はブラウザにパスワードを保存する機能はありませんでしたし、管理も必ずしもセキュアではありませんでした。しかし、今では暗号化されてセキュアで便利に使えるようになりました。特にブラウザに保存するとフィッシングサイトへの耐性が強いと言われます。見た目がそっくりなサイトでも正規のサイトとドメインが違えばブラウザは別サイトとみなします。ですので、自動でパスワードを入力せずに済みます。

【最近の脅威事例から学ぶセキュリティ】ネット証券を狙ったインフォスティーラーって何? (1/2)|CodeZine(コードジン)

上記のサイトで解説したようにブラウザに保存された認証情報を狙う攻撃がないわけではないですが、総合的に安全性は増します。パスワードを人力で管理する場合は、覚えやすいものにしたり使いまわすリスクが増えます。

パスワードの使いまわし

Proofpoint社の調査からさらに引用すると、「各アカウントに固有のパスワードを⼿動で⼊⼒する」と答えたのは日本が19%で、もっとも悪い数値です。グローバル平均の30%を大きく下回っています。アカウントごとに固有のパスワードではなくパスワードを使いまわす傾向がかなり強いということになります。「1〜4個のパスワードを⼿動で⼊⼒し、アカウント間でローテーションする 」と答えた割合が高かったことからも、暗記できる範囲のパスワードを使いまわす人が多いように見えます。

前述したように元々紙に書いて管理していた、メモ帳などに書いて管理していた等の背景もあるかもしれません。また、日本ではパスワードの定期変更文化がまだ根強いことが原因の一つとなっている可能性も考えられます。

パスワードを定期変更させてしまうと、よりシンプルなパスワードを使いがちであることや、人間が考えるパスワードは先頭が大文字で末尾が記号か数字である傾向が確認されており、それらはリスクとして指摘されています。攻撃者もその傾向を理解しているので、クラッキングされる可能性が高まります。

多要素認証により軽減されるリスク

昨今の認証では単純にパスワードを入力するだけでは足りず、多要素認証(MFA)を必須とするシステムが普及してきました。多要素認証になるとパスワードが堅牢であることの重要性は薄くなります。

キャッシュカードはたった4桁のパスワードでATMからお金を引き出すことができます。物理的にカードを持っていることとパスワードを知っていることの二要素認証となっているため、短いパスワードでも成り立つのです。オンラインの取引だと、ショートメールでの承認など別の手法で多要素認証を行うことが多いはずです。

パスワードの使いまわしは望ましくないですが、システムの管理者は利用者が使いまわしをしているのか知ることができません。多要素認証を強制することでリスクを減らすことは理にかなっています。

まとめ

この記事では、パスワードをブラウザに保存することのリスク等を、他国と比較しながら詳しく解説しました。ブラウザにパスワードを保存することは安全性を高めますが、パスワードの使いまわしは好ましくありません。特に、アカウントIDとパスワードをセットで使いまわすことは漏洩時に悪用されるリスクが高まります。

また、パスワードマネージャーの利用や二段階認証の導入など、よりリスクを軽減される方法もありますので、これを機に管理方法を再確認してみてはいかがでしょうか。


弊社では、セキュリティ、インフラストラクチャ、デジタルトランスフォーメーション(DX)を包括的にサポートするソリューションを提供しています。私たちの専門知識がどのように貴社の成長と安全性を高められるか、ぜひ資料をご覧ください。

以下のリンクから無料でダウンロードいただけます。貴社の未来を守り、進化させるためのお手伝いができることを楽しみにしています。

  資料ダウンロード|株式会社電通総研セキュアソリューション サービス紹介資料や講演動画など、各種お役立ち情報をまとめています。無料でダウンロードいただけますので、お気軽にご利用ください。 株式会社電通総研セキュアソリューション - ソリューションサイト




前の記事

prev-article-image

組織を弱くする、Security Fatigue(セキュリティ疲れ)とは何か

CONTACT

お客様の課題解決に最適な
支援プランをご提案いたします

ご不明な点はお気軽に
お問い合わせください

お問い合わせ

サービス資料は
こちらから

資料ダウンロード

人気記事ランキング

タグ一覧

logo
ページトップに戻る

© COPYRIGHT DENTSU SOKEN SECURE SOLUTIONS INC.ALL RIGHTS RESERVED.