利用者が許容できるパスワード文字数は8桁以上12桁未満 - IPA調査

独立行政法人情報処理推進機構(IPA)は5日、流出した個人のID・パスワードがサービスへの不正アクセスに利用される「パスワードリスト型攻撃」の増加をうけ、オンライン本人認証方式の実態調査を行い、調査結果を公開した。

今回の調査では、サービス利用者(個人)側とサービス事業者側の両方について、オンライン本人認証の実態調査を実施。安全なオンライン認証を実現する上で利用者側の意識と実態を調査し、優先すべき対策項目がまとめられている。

まず、利用者における「パスワードを作成する際、安全性を高めるために必要だと思う事項」(複数回答可)は、「英字と数字、記号が組み合わさった文字列」が74.2%と最多。次いで「名前や誕生日など、推測されやすい文字列を使わない」が70.3%、「8文字以上であること」が67.2%となった。

一方で、金銭に関連したサービスを利用する際に実際に設定しているパスワードを尋ねた質問(複数回答可)では、「ランダムな英数字の組み合わせ」が26.8%と最多だったものの、次いで「自身・家族の名前にちなんだもの」が19%、「自身・家族の誕生日にちなんだもの」が17.2%となり、多くのユーザーで安全なパスワードの知識はあっても、実際には名前や誕生日にちなんだパスワードを設定しており、セキュリティレベルは低いという結果となった。