パスワード - 絶滅の危機?
パスワードはユーザーやセキュリティチームの悩みの種です。セキュリティチームは、何年も前から、パスワードとして 123456 を使用しないこと、複数の個人アカウントや仕事上のアカウントにパスワードを再利用しないこと、なるべく厳格なパスワードルールを適用しパスワード管理ツールを購入することをユーザーに啓発してきました。しかし、いまだにこれらの文字、数字、特殊文字の組み合わせは攻撃者にとって魅力的な標的です。とはいえ、このようなパスワードが絶滅しパスワードレス認証へと移行する日は目前に迫っているのかもしれません。
一般的に絶滅事象とは、地球上の生物多様性を急激に減少させる出来事を指します。これまでの絶滅事象の多くは、火山や小惑星が地球の温度または大気中の二酸化炭素量に影響を及ぼすことで生じてきました。絶滅事象は痛烈なものかもしれませんが、気候変動に関する最近のニュースを見聞きすると、それほど激烈な事象でなくても、多くの人々に影響を及ぼす場合には絶滅事象に当てはまるようにも思えます。
今では多くの人が多要素認証の概念を知っていますが、一般的に多要素認証には、次の 3 つの要素のうち少なくとも 2 つが使用されます。
知識情報(パスワード)
生体情報(指紋またはその他の生体認証要素)
所持情報(携帯電話またはその他の物理デバイス)
1 つめは常にデフォルトのオプションとなっています。アプリケーション開発者または IT マネージャーがアクセスを許可するために第 1 に使用する要素です。私たちはパスワード方式が気に入っているわけではありませんが、慣れ親しんではいます。つまり必要悪とみなしているのです。実際、毎日新しいパスワードの作成、記憶、使用を好んでする人はどれだけいるでしょうか。私たちが使用しているサービスやアクセスしているネットワークは何百もあります。私たちがコントロールし、管理しなければならないものはいくつあるでしょうか。
最近、自分のパスワード・マネージャー・アプリに保存されているパスワードを確認したのですが、業務、旅行、ソーシャルに関連するアプリに 258 種類ものログイン情報を使用していることがわかりました。これには、航空会社のロイヤルティポイント、携帯電話会社、給与明細、COVID-19 ロックダウン中にパブで飲み物を注文する機能などが含まれています。
ただし、私はパスワードマネージャーを使用しているので、いずれも複雑で固有なパスワードであり、比較的安全なのではないかと思います。パスワードマネージャーを使用していなければ、パブで飲み物を注文するアプリと同じパスワードを、給与明細や証券会社、または会社の電子メールにアクセスする際にも使用する危険性があります。その場合、いずれかの認証情報がインターネットに流出する(ハッキングされる)と、他のすべてのアカウントも乗っ取りのリスクにさらされることになります。しかし、パスワードマネージャーがどんなに効果的であるとしても、一般の人々に受け入れられることはありません。多くのユーザーにとって「目に見える」メリットがないからです。しかも、技術に詳しくないユーザーにとっては、非常に面倒で複雑なものとなり得ます。
世界のほとんどの地域でロックダウンが実施されて以降、認証情報の流出頻度は増す一方です。これまでより自宅で仕事をする人が増え、また食料品の配達や動画のストリーミングなど、配達、配信を伴うさまざまなサービスのためにインターネットが頻繁に利用されるようになりました。そのため、人気サイトの haveibeenpwned.com では、漏洩した認証情報を掲載し、自分の認証情報が公開されていないかどうかを正当なユーザーが確認できるようにしています。現在は約 115 億のアカウントが表示されています。現在、インターネットユーザーの数は 45 億人をわずかに超える程度です。ということは、世界の全ユーザー数の約 2.5 倍の数の認証情報が流出し、悪人の手に渡っているといえます。
悪人たちは、パスワードの弱点を認識しているので、流出したパスワードを世界中の Web サイトで試し、有効なものを見つけ出そうとします。その成功率が 1% にもなるという事実を考えれば、これが世界中のアカウントを侵害する効果的な方法であることは明らかです。
だからこそ、ユーザー認証にパスワードだけでなく、他の 2 つの要素も使用するケースが増えているのです。本人確認のためにテキストメッセージや電子メールを受信することがあると思います。しかし、これは面倒な付加手順であり、多くのオンラインサービスは顧客に経験させたくないと考えています。SMS からコードをコピーして、それを Web サイトに張り付ける作業は、魅力的なユーザー体験を提供したいサイトオーナーが望む「フリクションレス」とはかけ離れています。
では、魅力的なユーザー体験の提供を望んでいるのに、なぜいつまでもパスワードを要求するのでしょうか。パスワードはいつでもどこにいても使えるうえに、欠点やリスクが熟知されています。パスワードの代わりに、他の 2 つの要素の 1 つが使用されることもあります。たとえば、アカウントを所有している Web サイトにアクセスすると、確認を求める通知が携帯電話に届きます。この場合、パスワードを覚えておく必要はないので、「所持情報」のカテゴリーに該当します。指紋の確認を求める場合は、「所持情報」と「生体情報」による 2 要素認証になります。これは、Web アプリでもモバイルアプリでも区別なく使えます。
パスワードに代わるものへの移行に際しては、インクルーシブの問題がハードルとなることがよくあります。しかし、パスワード自体、そしてパスワードに関連して使用されるリセットや CAPTCHA のページも、ある程度インクルーシブに反するとみなされてきました。英語圏の人々の約 20% には失読症があるため、現在のパスワードも理想にはほど遠いといえます。
したがって、実際には既存の方式よりも代替方式の方がインクルーシブである可能性もあります。顔認識、指紋スキャン、音声認識は、すべてパスワードの代替手段として使用できます。これらは記憶する必要がなく、すべて固有の情報です。今回のパンデミックによって、過去 18 か月間に多くのテクノロジーが進化を加速させ、私たちの生活は以前よりも簡単で安全なものとなっています。それでもなおパスワードの沼から抜け出すことができないのはなぜでしょうか。
パスワードには恐竜の時のような絶滅事象は生じないかもしれませんが、近いうちにドードー(モーリシャス島に生息していた絶滅鳥類)と同じ道をたどると思われます。
