Dashlane は四半期ごとの個人データ セキュリティ ラウンドアップの第 1 版を発表しました。
消費者は、ますます多くのeコマース事業者と、決済情報を含む個人データを共有するようになっています。個人データを保護する鍵となるのは、これらのサイトで使用しているパスワードであり、脆弱なパスワードは個人データのセキュリティにとって壊滅的な被害をもたらす可能性があります。Dashlaneは、上位100社のeコマース事業者のパスワードポリシーをランキング化し、深刻な懸念事項を明らかにしました。
この総括レポートでは、Dashlaneがオンラインセキュリティにおいて重要と特定した24種類のパスワード基準を検証し、米国のトップ100 eコマースサイトのパスワードポリシーを評価します。サイトが基準を満たしているかどうかに応じてポイントを加算または減点します。各基準には+/-ポイント値が与えられ、各サイトの合計スコアは-100から100の範囲となります。
主な調査結果:
• 55% のサイトで依然として「123456」や「password」などの悪名高いほど弱いパスワードが受け入れられています。
• 51% のサイトでは、10 回連続で間違ったパスワードを入力しても、アクセスをブロックしません (Amazon、Dell、Best
Buy、Macy's、Williams-Sonoma を含む)。
• 64% のサイトでは、パスワードの使用法に非常に疑問が残ります (この調査では合計スコアがマイナスになっています)。
• 61% のサイトでは、サインアップ時に強力なパスワードを作成する方法についてのアドバイスがまったく提供されておらず、93% のサイトでは、画面上でのパスワード強度評価が提供されていません
。 • 優れたパスワード ポリシーのしきい値 (つまり、合計で 45 ポイント以上) を超えたのはわずか 10% です。
• Toys “R” Us、J.Crew、1-800-Flowers.com を含む 8 つのサイトでは、パスワードがテキスト形式でメールで送信されています。
上位100のeコマースウェブサイトの中で最も安全なパスワード保護
Appleは最高の評価を受け、満点を獲得した唯一の小売業者となった。一方、Newegg、Microsoft、Chegg(2位タイ)、Targetがトップ3を占めた。
MLB.com、Karmaloop、Dick's Sporting Goodsの3つが最低スコアを獲得しました。Amazon、Walmart、Victoria's Secret、Toys “R” Usも、いずれも-35以下のスコアを獲得し、最下位にランクされました。
これらの調査結果は、特にスターバックスなどの大手小売業者における最近のオンラインセキュリティ問題の多発という文脈で検証すると、憂慮すべきものです。米国の大手eコマースサイトの中には、ユーザーの個人データを適切に保護できる基本的なパスワードポリシーを導入していないところもあることが示唆されています。
危険にさらされるユーザー
弱いパスワード ポリシーのリスクは、ユーザーの個人データが脆弱なままになることです。パスワードが弱いほど、ハッカーがアカウントに侵入しやすくなります。そのため、パスワード ポリシーが緩いサイトでは、ユーザーをより大きなリスクにさらしています。

ほとんどのサイトで、「123456」、「111111」、さらには「password」という単語など、最もよく使用される 10 個のパスワードが受け入れられています。 Dashlane はまた、62% のサイトで文字と数字の組み合わせが不要であり、73% のサイトで 6 文字以下のパスワードが受け入れられることも発見しました。 MLB では、ユーザーが「baseball」という単語をパスワードとして使用することも許可しています。
弱いパスワードを許可するだけでなく、多くの e コマース サイトでは、アクセス試行に繰り返し失敗してもユーザーのアカウントがロックされません。 Amazon や Dell を含む多数のサイトでは、10 回間違ったパスワードを入力しても、通常のログイン試行が中断されることなく許可されています。 ハッカーがアカウントに侵入するために使用する最も簡単な方法の 1 つは、よく使用されるパスワードの自動入力です。複数回の誤った入力後にアカウントへのアクセスを制限することは、この戦術を抑制する簡単な方法です。
上記の 2 つの問題が組み合わさると、ハッカーはブロックされることなく最もよく使用されるパスワードを繰り返し試すことができるため、多くのアカウントに簡単にアクセスできるようになります。
さらに危険な行為の一つとして、パスワードを平文でメールで送信することが挙げられます。幸いなことに、この行為はそれほど蔓延していませんでしたが、調査によると、Toys “R” Us、J.Crew、1-800-Flowers.comなど、いくつかのサイトでは依然としてユーザーのパスワードを平文でメールで送信していることがわかりました。
解決策はシンプルです。
パスワードポリシーをより安全にするために、Dashlaneはeコマースサイトにいくつかのシンプルなポリシーを採用することを推奨しています。
• パスワードは少なくとも8文字で、大文字/小文字、数字、記号の組み合わせにすること
• ログインに4回失敗するとアカウントへのアクセスをブロックする
• サインアップ時に強力なパスワードの選択方法に関するアドバイスをユーザーに画面上で
提供する• パスワードを選択する際に、パスワードの強度を画面上で評価する
これらのプラクティスはすべて、すぐに利用できるオープンソーステクノロジーを用いて、安価かつ迅速に実装できます。ウィリアムズ・ソノマ、チェッグ、CDWなど、上位100位以内にランクインしている多くのサイトでは、既にこれらのプラクティスの多くを実装しています。
一部の小売業者は、こうした要件はユーザーの利便性を損なうと主張するかもしれませんが、リストの中で最も有名なブランドと言えるAppleのような企業は、セキュリティと成功を両立できることを示しました。私たちがテストしたすべてのカテゴリーにおいて、Appleは上記で推奨する4つのシンプルなポリシーと手順を実施しました。これらのポリシーにより、Appleは本調査で唯一の満点を獲得しました。
Target、Nike、Microsoft も、文字、数字、大文字と小文字の組み合わせを含む安全なパスワードをユーザーに要求しているため、高得点を獲得しました。
完全な調査結果、データ、インフォグラフィックは、www.dashlane.com/securityroundup でご覧いただけます。
[情報を教えてくれたMacDailyNews読者の「Fred Mertz」氏と「Lynn Weiler」氏に感謝します。]
