キャピタル・ワンは、銀行ウェブサイトでパスワードマネージャーの使用を禁止するポリシーを採用していることで批判に直面している。
米国のジョンズ・ホプキンス大学情報セキュリティ研究所のRegリーダーで上級セキュリティ エンジニアのジョセフ・キャリガン氏は、最近、キャピタルワン銀行口座のパスワードをリセットしようとしたところ、オンライン ポータルでパスワード マネージャーからパスワード欄にテキストをコピーして貼り付けることができないことに気付いたという。
パスワードを貼り付けられないのは、最悪の場合、煩わしいと感じるかもしれませんが、キャリガン氏はEl Regに対し、このポリシーはセキュリティに深刻な悪影響を及ぼすと述べています。特に、長く複雑で固有のパスコードを生成できるパスワードマネージャーの使用を妨げてしまうのです。
「ユーザーがこの会社のページのアカウントに、強力なパスワードを使ってアクセスしていると想像してみてください。パスワードは20~30文字で、大文字、小文字、数字、特殊文字が含まれています」とキャリガン氏は説明した。
ユーザーがパスワードマネージャーからサイトにパスワードをコピーできれば、パスワードの変更は簡単です。しかし、このサイトでは設計上、ユーザーが手動でパスワードを入力する必要があります。
ユーザーがパスワードを変更する場合、古いパスワードに加えて、少なくとも 2 回 (1 回目は新しいパスワードを設定するため、2 回目はそれを確認するために) 手動でコードを間違いなく入力できる必要があります。
ユーザーは、長くて安全なパスワードでこのプロセスを実行するよりも、覚えやすい短いパスワードを選択したり、他のサイトで使用したパスワードを再利用したりする傾向があります。これらはどちらも情報セキュリティ上絶対に避けるべきことです。
いいえ、8文字、大文字と数字の組み合わせは、良いパスワードポリシーではありません。
続きを読む
「問題は、これがユーザー側のパスワード管理を怠る動機になっていることです」とキャリガン氏は述べた。「ユーザーを脆弱なパスワードへと導くものはすべて欠陥だと思います。」
キャピタル・ワンは、この件に関してコメントを求めるレグ社の要請には応じなかったが、キャリガン氏は、同銀行の顧客サポートから、この方針は設計通りだと言われたと述べている。
キャリガン氏の場合、最終的にはパスワードマネージャ(同氏は Password Safe を使用)の自動入力設定を変更することでブロックを回避できたが、このプロセスはほとんどのユーザーにとってかなり複雑で、手動でコードを入力するのと同じくらい時間がかかるとのことだ。
いずれにせよ、この銀行は、ユーザーが最も必要とする場所で強力なパスワードを設定し、維持することを困難にしている。この問題は、SQLインジェクションやクロスサイトスクリプティングの脆弱性のような直接的な危険ではないかもしれないが、キャピタル・ワンの多くの顧客にとって、同様のリスクをもたらす可能性がある。
もちろん、Capital Oneはパスワード入力欄からのカットアンドペーストをブロックしている唯一のウェブサイトではありません。毎日とは言わないまでも、毎週のように新しい不正サイトが現れています。銀行としては、もう少し対策を期待したいところです。最近、パスワードマネージャーをブロックしている主要サイトを見つけた方は、ぜひ下のコメント欄でお知らせください。®
