Adobeから流出したユーザーのパスワードをセキュリティ企業が調べた結果、「123456」「password」といった単純なパスワードを多くの人が使っていたそうです。
→Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用
パスワードが悪用される事態は普通の人にとっては想像しにくいので、セキュリティより利便性を重視する人がいるのは分からないでもありません。女優の鈴木杏さんがパスワードを忘れて、Twitterをやめることになったという報道もありますし。
しかし、単純なパスワードには、もちろん大きなリスクがあります。セキュリティ企業の調査を見ると、上位10位までのパスワード使用者の総数は360万人以上にのぼります。
Adobeの情報流出で影響を受けたユーザーは3800万人以上ということなので、上位10位のパスワードを順に入れていけば、10%近い確率で認証されてしまうことになります。ブルートフォースアタック(総当たり攻撃)というハッキング方法の1つですが(辞書攻撃という方が近いかも)、こうなるとさすがに危険でしょう。
対策としては、誤ったパスワードを数回入れると、入力を一定時間ロックする方法がよく使われています。iPhoneの場合は次のようになっています。
1.6回失敗 →1分間使用不可能
2.7回失敗→5分間使用不可能
3.8回失敗→15分間使用不可能
4.9回失敗→60分間使用不可能
5.10回失敗→60分間使用不可能
6.11回失敗→iTunesに接続しない限り使用不可能
ただ、僕は別のサービスのパスワードを入れてしまったりと、誤って入力してしまうことが少なくありません。セキュリティ意識が高い人ほど複数のパスワードを使い分けていると思うのですが、セキュリティ意識が高くなればなるほど、誤入力でロックされてしまう可能性も高くなってしまうというのは皮肉なことです。
そこでサービス提供側にとっては、別の対策もあると思うのです。それはユーザーが“トラップパスワード”を設定できるようにすること。例えば、「123456」といった単純なパスワードや誕生日のような個人情報に関わるパスワードが入力されたら、そのIPアドレスからはアクセスできないようになり、かつユーザーの携帯電話に通報メールが送られるというシステムです。
悪くはない手だと思うのですが、調べたところ使われているサービスは見当たりません。それなりに面倒な処理にはなりそうですが、どこかに試してほしいところです。