•   Login
  •  
  •   Rss
  •   Rss2.0
  •   ATOM1.0
  •   Admin
  •   Top
  •   Home

14%もあるのか!
平文でパスワードを管理していると思われるネット事業者が14%、フィッシング対策協議会のアンケート調査結果。
平文でパスワードを管理していると思われるネット事業者が14%、フィッシング対策協議会のアンケート調査結果

多いとみるか、少ないとみるか。
私は、圧倒的に多いと見ます。
だってさぁ、14%だよぉ。10社のうち1.5社は、パスワードを平文(原文)のまま管理しているんですよぉ。
IDとパスワードをあらゆるサイトで使い回ししていたら、そりゃぁもう、一網打尽でアウトですよぉ。
私は、IDは使い回すことはあっても、パスワードは全部違う上に2段階認証やリスクベース認証の可能なサイトは、ALLやっているくらいです。
平文のまま管理するなんて、今時正気の沙汰とは思えません。
平文で管理している所って、定期的にパスワード変更を促していたりするんでしょうね。
ヒソヒソ( ゚д゚)ヤダァ(゚д゚ )ネェ


私がやっている無料会員サイトですら、パスワードはハッシュ化して管理しています。
いやはや、セキュリティー意識が低い事業者が、まだこんなにも多いなんて。
オージス総研のパスワード流出漏れは他人事と思っているんでしょうね。

『宅ふぁいる便』利用者のパスワードを暗号化せず管理→個人情報流出 専門家「ここ15年で最悪のトラブル」


 フィッシング対策協議会の認証方法調査・推進ワーキンググループは、インターネットサービス事業者が採用している認証方法に関して実施したアンケート調査について、その結果の一部を速報値として公表した。個人認証の方法がIDとパスワードのみの事業者が77%、パスワードを平文で管理していると思われる事業者が14%といった実態が明らかになった。

 アンケートは2月19日から28日まで、インターネットサービスを提供している事業者に対して匿名で実施。308人からの有効回答を得た。

 「インターネットサービスの個人認証を主にどのような方法で実施していますか?」との設問では、「IDとパスワードのみ」 が77%で、「多要素認証(二要素認証含)」は20%に過ぎなかった。

 多要素認証は、IDとパスワードに加えて、電子メールやSMS、スマートフォンのアプリなどから得られるワンタイムパスワードを用いるのが一般的だ。不正ログイン対策には有効だが、利便性が低下するという欠点がある。そのため、認証方法調査・推進ワーキンググループでは、「多要素認証の導入を単に推進するのではなく、サービスが扱う情報や資産の性質と、安全性・利便性のバランスを考慮して、サービスごとに適切な認証環境が構築されるものだと考える」としている。

 パスワードの定期的な変更を要求している事業者は合計74%だった。変更を要求する期間は、3カ月以内が33%、6カ月以内が26%、12カ月以内が10%、12カ月超が5%となっている。ただし、変更を必須としているわけではなく推奨にとどめているものも含まれている。

 「インターネットサービスにおけるパスワード管理は、何らかの方法で盗まれても問題ない読めない状態 (ハッシュ、暗号化など) で管理されていますか?」との設問には、「はい」が86%と大半を占める一方で、「いいえ」が14%存在した。この14%は、パスワードを平文の状態で管理していると思われるという。

 認証方法調査・推進ワーキンググループでは、ハッシュ化/暗号化といたパスワードデータの難読化処理について、「外部からの侵入のリスクだけでなく、サービス事業者の内部スタッフが標的型攻撃に遭い漏えいした場合や、悪意による漏えいのリスクを想定すると、標準とすべき対策だと捉えている」としている。
記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: (2人)
Posted by いぐぅ 06:00 | インターネット | comments (0) | trackback (0)
コメント
コメントする









この記事のトラックバックURL
http://www.sir-2.net/dablg/tb.php/6798
トラックバック

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30