米国では2割近くの人がパスワードの保全方法に「紙切れに書き込む」をもっともよく使っている
暗記が最多、紙切れに書き込みが続く
インターネット上のサービスの増加に連れて、本人確認の仕組みとしての「IDとパスワードの入力」は今や当たり前の方法となりつつある。キャッシュカードを用いる際にパスワードの入力を求められるのも、カードにIDが割り振られていることを考えれば、実のところ昔と同じ様式には違いなく、入力する手段が変わっただけの話に違いない。それでは個人を特定するのに欠かせない、家の戸締りならば鍵に該当するパスワードを、人々はどのような形で保全しているいるのだろうか。今回はアメリカ合衆国の民間調査会社PewResearchCenterが2017年1月に発表した、同国におけるデジタル界隈のセキュリティへの認識の実情に関わる調査報告書「Americans and Cybersecurity」(※)の内容をもとに、その実情を確認していく。
次に示すのはオンライン上のサービスで個人特定の際に多用されるパスワードについて、どのような形で保全しているか、用いている方法を複数回答で尋ねた結果。合わせ、どの方法を一番良く使っているのかも聞いている。
最も多い方法は「記憶しておく」で86%。最多利用方法として挙げている人もほぼ2/3と絶対多数。他人に盗取されない方法としては一番安全な方法に違いは無いが、同時に自分の記憶自身との戦いでもあり、利用サービスが増えてパスワードが多様化すると、難儀することにもつながる。複数のサービスで同じパスワードを流用するケースが多いのも、「暗記するのに便利だから」との理由が多々あるに違いない。
次いで多いのは「紙切れに書き込む」で49%。最多利用の人は18%。付せんなどにパスワードとIDを書き込み、パソコンのディスプレイに貼りつけておく事例はよく目にするが、インターネット越しの盗用はそれで防げるかもしれないものの、物理的なハッキング(ソーシャルハッキング)は逆に容易なものとなってしまう。「ファイルに入力し端末に保存」は24%、最多利用は6%。紙切れへの書き込みと比べればソーシャルハッキングのリスクは減るものの、ファイル自身を盗取されてしまったら元も子もない。
パスワードの保全方法に関しては、属性別の違いはさほど無いと報告書では説明している。あえて差異を見出すとすれば、年齢階層別では50歳未満は記憶で保全が一番多いとした人は72%なのに対し50歳以上は55%にとどまっている、50歳以上は逆に紙に書き留める方法が高くなり27%を示しているが50歳未満では13%でしかないとのことである。他方、過去にインターネット上で個人情報の盗取経験を持っている・居ないは保全方法との相関関係は見られないとのことだった。
年齢階層別にパスワードへの姿勢を確認
住宅の鍵に等しいパスワードを、どのような認識で管理しているのか。それが分かるのが次の設問群。パスワードの使い方をいくつかのケースで、基本的に自分の実情がどちらに近いか聞いたものだが、想像以上に雑、危機感に欠けている実情が確認できる。
まずは複数サービスで使われる、それぞれのパスワードの類似性。
全体では4割近くが同じ、あるいは似通っているとの回答。サービス側からの注意喚起でもわかる通り、同じパスワード(とIDの組み合わせ)は、何らかのトラブルで1サービスのパスワードが漏洩した場合、他のサービスで総当たりによる攻撃によってなりすましの被害を受ける可能性がある。自分が覚えやすく便宜性が高まるとしても、複数のサービスで同じパスワードを用いるのは避けるべき。家と車と貸金庫と自転車の鍵をすべて同じものにしているようなものだ。
年齢階層別では40代までと50代以降で、パスワードの流用・類似利用に関する認識が異なっているように見える。若年層はあまり気にせず4割台が同じものなどを使っているが、高齢層では3割台でしかない。
次いで他人とのパワードの共有状況。要は同一サービス内のアカウントを自分だけでなく他人と共有しているか、自分のアカウントを他人が流用することを許可しているか否か。
親子や恋人同士、親友間では秘密を暴露してもいいだろう、むしろそうすることで信頼感を確認する、あるいはサービスそのものを共用する前提で利用している可能性もある。どちらの意図にせよ、セキュリティ上のリスクは増加することに違いは無い。こちらも若年層ほど共用回答率は高く、見方を変えればセキュリティ意識が低い状態であることが分かる。30歳未満では実に過半数がパスワードの共有をしていることになる(無論すべてではないだろうが)。
最後は二段階認証。最近はソーシャルメディアやウェブサービスでは推奨する形で提供している、セキュリティ向上の様式の一つ。当然、利用した方が手間はかかるが安全性は高まる。
全体では5割近くが利用している。年齢階層別では40代までと50代以降の間でギャップが生じている。ただし今件では若年層の方がセキュリティ向上の観点で良い選択肢をしている人が多く、高齢層ではハイリスクの選択肢が多くなっている。技術的にハードルが高い様式であるため、つい避けてしまうのだろう。
今件の調査項目の限りでは、40代までと50代以降との間で、セキュリティに関する認識の違いがあるように読める。どちらの属性がすべてベストな選択をしているわけでは無いのが頭の痛いところではある。
他方若年層において、インターネット上のサービスの個人単位の割り振りを、所有物のように認識し、他人に気軽に貸し与えたり共に使うようにする意識が強いのは気になるところ。例えば実物の書籍やおもちゃでもありうる話なのだが、共有した物品を悪用されたり、第三者にまた貸しして戻ってこなくなるといった類のリスクはあまり想定していないようだ。「自分は必ず安全策を取るから相手もそうするはずだ」との考えは思い込みに過ぎない。他人が自分に成りすませることができる状態の怖さを、改めて知るべきだろう。
■関連記事:
2016年でもっとも人気のある、そして危険なパスワードは「123456」
セキュリティ 「面倒だから」「高いから」「重たくなるから」ソフトは使わず
※Americans and Cybersecurity
2016年3月から5月にかけてアメリカ合衆国内に居住する18歳以上の人に対しRDD方式で選択された電話による通話応対形式で行われたもので、有効回答数は1040件。うち262件は固定電話、778件は携帯電話(そのうち477件は固定電話非保有者)。国勢調査の結果に基づき各種指標でウェイトバックが行われている。