フィッシング対策協議会の認証方法調査・推進ワーキンググループが発表したインターネットサービス事業者が採用している認証方法についての調査結果によると、IDとパスワードのみの認証方法が大多数で、パスワードを平文で管理している事業者が14%あった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
フィッシング対策協議会の認証方法調査・推進ワーキンググループは2019年5月16日、インターネットサービス事業者が採用している認証方法についての調査結果の一部を速報として発表した。
個人の認証方法については、多くがIDとパスワードの組み合わせで、多要素認証やリスクベース認証を採用している事業者は少なかった。具体的には「IDとパスワード」と回答した割合は77%、二要素認証を含む「多要素認証」は20%、「リスクベース認証」は1%だった(図1)。
この結果について認証方法調査・推進ワーキンググループは「サービス事業者から漏えいしたパスワードリストを利用する『リスト型攻撃』によって不正アクセス被害が顕在化して以来、パスワード以外の要素を認証に追加適用するサービスが増加した。認証要素の追加は安全性の向上につながる一方、認証手順が増えるため利用者の利便性は低下する。そのため、多要素認証の導入を単に推進するのではなく、サービスが扱う情報や資産の性質と、安全性や利便性のバランスを考慮して、サービスごとに適切な認証環境を構築する必要がある」としている。
Copyright © ITmedia, Inc. All Rights Reserved.