旅行関連サイト、多くが安全性の低いパスワードを許可

パスワードマネージャーサービスのDashlaneは2日、旅行関連企業55社のWebサイトを対象に、パスワードの安全性を調べた「2018 Travel Website Password Power Ranking」を発表した(Dashlane Blogの記事、BetaNewsの記事)。

評価は1)パスワード長8文字以上が必須、2)数字とアルファベットを組み合わせたパスワードが必須、3)設定画面でパスワード強度判定機能を提供、4)アカウント作成確認の電子メールを送信、5)2要素認証を提供、の5項目について各1点、5点満点で判定される。55社には航空会社やホテル、旅行代理店、クルーズ会社などが含まれる。

結果としては、5点満点を獲得したのはAirbnbのみ。Hawaiian AirlinesとHilton、Marriott、Royal Caribbean、United Airlinesが4点で続く。合格ラインの4点以上を獲得したのは11%にとどまり、89%が水準以下となっている。項目別では大半の49サイトが確認メールを送信しているのに対し、2要素認証を提供するのは2サイト、パスワード強度判定機能を提供するのは10サイトにとどまる。

一方、23サイトが8文字未満の弱いパスワードを許可しており、22サイトが数字のみまたはアルファベットのみの弱いパスワードを許可している。両方を許可しているサイトは14サイト、どちらか一方を許可しているサイトは31サイトに上る。両方を許可している14サイトのトータルスコアはすべて0～1点であり、0～2点の29サイト中28サイトが少なくとも一方を許可している。トータルスコア3点を獲得した20サイト中17サイトは弱いパスワードの使用をいずれも認めていないが、Booking.comとHertz、Skyscannerは数字のみ/アルファベットのみのパスワードを許可している。

同社がコンシューマー向けおよびビジネス向けWebサイトを対象に昨年実施した「2017 Password Power Rankings」や暗号通貨取引所のWebサイトを対象に今年実施した「Cryptocurrency Exchange Password Power Rankings」と比較して旅行関連サイトでは水準以下のサイトが多いと説明しているが、前者の合格ラインは3点以上、後者の合格ラインは5点以上。また、前者は4番目の評価項目が10回以上パスワードを誤入力した際にロックアウトなどの措置をとるかどうかとなっているが、これらの違いについては説明されていない。　

スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
「英単語の一部を規則的に記号に置き換えたパスワード」は安全ではない 2018年04月10日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日