パスワード疲れとは、オンラインアカウントごとに異なる複雑なパスワードを作成し、記憶し、使用しようとするときに生じる症状です。この症状は、個人ユーザーだけでなく、重要なデータやその他の資産の保護に尽力する組織やセキュリティ専門家にも過度のストレスを与えます。パスワードレスセキュリティ企業Beyond Identityは最近、パスワード疲れの問題点と落とし穴を検証しました。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
Beyond Identityは、「パスワード疲れの測定:ユーザビリティとサイバーセキュリティへの影響」という調査において、600人以上のフルタイム従業員を含む1,047人のアメリカ人を対象に、パスワード疲れが日常生活にどのような影響を与えているかを調査しました。回答者の39%が、深刻なパスワード疲れ、特にすべてのアカウントのパスワードを記憶しなければならないことへの不安を感じていると回答しました。
パスワードの要件、強制的な変更、セキュリティ質問など、組織がネットワークアカウントとデータを保護するために講じるその他の措置は、個人としても仕事上も人々に混乱とストレスをもたらしています。調査対象者の4分の3以上が、パスワード疲れが生産性と精神力に影響を与えていると回答しました。
作成・管理するアカウントの数が増えるほど、パスワード疲れの度合いは高まります。疲れのレベルが高いと回答した人のうち、56%は少なくとも週に1回は新規アカウントを作成する必要があり、31%は少なくとも月に1回は新規アカウントを作成する必要があり、新規アカウントをめったに作成しないと回答したのはわずか25%でした。パスワード疲れにつながる行動を見ると、複数のアカウントで同じパスワードを使い回すことや、異なるアカウントで似たようなパスワードを使い回すことが上位にランクインしているのに対し、自動生成パスワードの使用は低い割合でした。
調査対象となったフルタイムのビジネスユーザーのうち、34%が少なくとも週に1回はパスワード付きの新しいアカウントを作成していると回答しました。新しいアカウントのパスワードの作成または回復に、平均12分強を費やしています。さらに、約80%が、仕事用アカウントの一部、多く、またはすべてでパスワードを使い回していると認めました。
パスワード疲れはセキュリティ問題を引き起こすだけでなく、コストも発生します。組織は平均して、パスワード問題による従業員一人当たり年間480ドルの無駄な時間を費やしています。従業員がパスワード疲れを感じている組織では、そのコストは従業員一人当たり670ドルにまで上昇しています。
現在、パスワードをどのように保存しているかを尋ねたところ、回答者の72%がオンラインで保存、57%がパソコン上にローカルに保存、37%がメモ、11%が記憶していると回答しました。パスワードの保存や管理には、人によって様々な方法が用いられます。Microsoft OfficeやGoogle Workspaceスイートを使用し、文書やスプレッドシートに平文でパスワードを保存している人もいます。また、パスワードマネージャーやブラウザの自動保存機能を利用している人もいます。
パスワードを複数の方法で使い分ける人もいますが、それはより大きなストレスにつながる可能性があります。調査によると、パスワード疲れの度合いが高い人は、パスワードの保存と管理に多くの方法を用いるのに対し、パスワード疲れの度合いが低い人は、最小限の方法しか使わない傾向があることがわかりました。
個人や組織は、パスワードだけでなく認証プロセス全体をより適切に管理するにはどうすればよいでしょうか。いくつかのヒントをご紹介します。
シングルサインオンを検討してください。シングルサインオンにより、従業員は単一の認証情報を使用して、関連性のある異なるアプリケーションやアカウントにアクセスできます。このテクノロジーは、従業員が覚えておく必要があるパスワードの数や、1日中にログインしなければならない回数を減らすために組織で利用できます。
生体認証ソリューションを検討してください。多くのオペレーティングシステム、ウェブサイト、アプリが、特定のアカウントへのサインインに顔認証や指紋認証を採用しています。モバイルデバイスでは、既に生体認証技術が組み込まれているため、デスクトップよりも生体認証の利用が容易です。また、PCでも生体認証スキャンを使用してWindowsにサインインしたり、対応ウェブサイトにアクセスしたり、対応アプリケーションにログインしたりできます。
二要素認証を必須にしましょう。脆弱なパスワードはデータ侵害の際に簡単に漏洩し、ランサムウェア攻撃やアカウント乗っ取りにつながる可能性があります。適切な二要素認証を導入すれば、侵害で漏洩したパスワードを悪用して攻撃者が二段階認証なしでアカウントにアクセスすることはできません。
パスワードマネージャーを活用しましょう。パスワードレス認証はますます普及しつつあります。FIDOアライアンスは最近、Google、Microsoft、Appleと共同で、スマートフォンに保存されたパスキーを使って近くのデバイスにログインできる、新しいパスワードレス技術のサポートを発表しました。しかしながら、現時点ではまだパスワードが不可欠であるため、すべてのアカウントとアプリケーション間で認証情報を作成、保存、適用するには、パスワードマネージャーが依然として最適な選択肢です。ほとんどのパスワードマネージャーは、組織内で導入・管理できるビジネス版またはエンタープライズ版を提供しています。
