フィッシング対策協議会の認証方法調査・推進ワーキンググループは、インターネットサービス事業者が採用している認証方法に関して実施したアンケート調査について、その結果の一部を速報値として公表した。個人認証の方法がIDとパスワードのみの事業者が77％、パスワードを平文で管理していると思われる事業者が14％といった実態が明らかになった。

アンケートは2月19日から28日まで、インターネットサービスを提供している事業者に対して匿名で実施。308人からの有効回答を得た。

「インターネットサービスの個人認証を主にどのような方法で実施していますか？」との設問では、「IDとパスワードのみ」 が77％で、「多要素認証（二要素認証含）」は20％に過ぎなかった。

多要素認証は、IDとパスワードに加えて、電子メールやSMS、スマートフォンのアプリなどから得られるワンタイムパスワードを用いるのが一般的だ。不正ログイン対策には有効だが、利便性が低下するという欠点がある。そのため、認証方法調査・推進ワーキンググループでは、「多要素認証の導入を単に推進するのではなく、サービスが扱う情報や資産の性質と、安全性・利便性のバランスを考慮して、サービスごとに適切な認証環境が構築されるものだと考える」としている。

パスワードの定期的な変更を要求している事業者は合計74％だった。変更を要求する期間は、3カ月以内が33％、6カ月以内が26％、12カ月以内が10％、12カ月超が5％となっている。ただし、変更を必須としているわけではなく推奨にとどめているものも含まれている。

「インターネットサービスにおけるパスワード管理は、何らかの方法で盗まれても問題ない読めない状態 (ハッシュ、暗号化など) で管理されていますか？」との設問には、「はい」が86％と大半を占める一方で、「いいえ」が14％存在した。この14％は、パスワードを平文の状態で管理していると思われるという。

認証方法調査・推進ワーキンググループでは、ハッシュ化／暗号化といたパスワードデータの難読化処理について、「外部からの侵入のリスクだけでなく、サービス事業者の内部スタッフが標的型攻撃に遭い漏えいした場合や、悪意による漏えいのリスクを想定すると、標準とすべき対策だと捉えている」としている。