ビジネス

2018.11.22

パスワード認証は今後どうなる?

現在あらゆるサービスでユーザー名とパスワードの組み合わせによる登録とログインが行われています。
しかし情報漏洩のニュースなど度々騒がれるなど、本当に最適な方法といえるのでしょうか。

wikiによるとよく使われるパスワードに「123456」や「password」などが上位にきています。
利用者がこうした安易なパスワードを使う以上、パスワードは信頼できないものであるという前提で考える必要があります。


パスワードは秘密の情報ではない

正直、利用者はパスワードをしっかりと管理しているとはいえません。
いまだに手帳にメモをしたり、PC画面に付箋で貼ったりと意味のない運用があたりまえになっています。

パスワード認証を少しでも安全にするために、パスワードを強力にするさまざまな手段が講じられてきてはいますが、どうしても利用者側のレベルに引っ張られてしまう以上、どの対策も付け焼き刃になってしまいます。


パスワードの定期変更は、逆にリスクを高める

サービスによっては「パスワードは定期的に新しいものに変更してください」と案内されたり、もっと厳格なところでは「一定期間経過したパスワードは使えなくする」という仕組みを採用しているところもあります。

これはパスワードを使い回すリスクを減らす効果を期待したもので、「利用者が定期的に無理やり新しいパスワードを考えなければならなくなるので安全ですよね」という仕組みです。

でもこれまでの例を見ると、利用者が複数のパスワードを覚えられるのであれば、そもそも使いまわしはしません。

こういう仕組みを導入してしまうと、利用者に不便を強いるどころか、逆に「1234」「abcd」といったパスワードを交互に使いまわしたり、「qwe#1」「qwe#2」といったパターン化したパスワードを利用されたりして、さして強度が上がらないという事態になるのが関の山です。
それどころか新しいパスワードを覚えられなくなった利用者は、付箋に書き出して貼るという「解決策」を見出してしまいがちです。
これでは本末転倒といえます。

パスワードの定期変更については同様の理由でNIST (米国国立標準技術研究所) ガイドラインで非推奨とされており、総務省や内閣キュリティーセンターもそれに従って同様の案内を出しています。


パスワード認証以外の方法を模索する

パスワードそのものの安全性が利用者依存になってしまい、その信頼性を期待できない以上、安全性を担保するには別の認証方式を考えたほうが得策です。以下に以下つかパスワードに頼らない認証を紹介します。


SMS認証

これはログイン時に携帯電話宛にSMS(懐かしのショートメール)で1回限り使えるランダムな認証コードを送り、それを入力して認証を完了させる仕組みです。
AWS SNSなどのSMS送信用ゲートウェイサービスを利用して送信・認証ロジックを自前実装するほか、Facebook社が提供している「Account Kit」を使えば認証処理まで全て丸投げすることもできます。
■メリット
1.パスワードを覚える必要がない
2.認証コードはログインのたびに変わるので、付箋に書き留められない
3.使用済みの認証コードで不正にログインすることができない
4.認証コードはランダムなので、他サイトが攻撃されてパスワードが漏れても影響しない
5.常に手元にある端末で認証するので、知らぬ間に第三者にログインされることがない
■デメリット
1.携帯電話端末が必要(SMSを受信する必要があるのでデータSIMなどは不可)
2.端末が壊れた・紛失したときにログインできなくなる
3.利用するSMS送信ゲートウェイサービスによっては送信料金がかかる


メール認証

Slackなどで「マジックリンク」と呼ばれ採用されているログイン方式です。
登録されたメールアドレス宛に1回限り使えるログイン用の認証リンクを送り、それをクリックすることで認証を完了する仕組み。
これは言い得て妙な方式で、サービスによっては「パスワードを忘れたとき」のリセット手段で「パスワードのリセット用リンクをメール送信」しているものもあります。
ただ、このログイン方式には「メールサービスもまたユーザー名・パスワード認証であることが多い」という欠点があります。
メールサービスを突かれた場合、こちらも被害を被ってしまう諸刃の剣です(メールベースでパスワードリセット機能を提供しているサイトは、同様にこの攻撃の影響を受けうる)。
とはいえ、利用者が使っているサービスが仮にGmailなどであれば、追加の高度な不正ログイン対策が実装されていますし、プロバイダ提供のメールサービスだと事前に決められた比較的強力なパスワードが用いられていたりするので、サービス独自のパスワード認証ロジックを持たせるよりは安全です。


外部の認証サービス

「Googleでログイン」「Facebookでログイン」というSNSログインボタンですが、これも解決策のひとつになりえます。
これらのSNSサービスもまたパスワードを認証要素にしているので100%安全とは言えないのですが、それでも彼らの持つ不正ログイン対策機構は「ないよりは断然マシ」なセキュリティーをもたらしてくれます。


WebAuthn

WebAuthnは上記で挙げたパスワード認証の問題点を解消できる「公開鍵認証」と呼ばれる仕組みを採用しており、危険なパスワードに頼ることなく安全に利用者を認証できるようになっています。
現時点ではまだAppleがWebAuthnの対応を発表しておらず、当面はSafariなどでも使えないため、全てをWebAuthnにすることはできません。が、認証方式のひとつとして提供する価値はとても大きいです。
将来的にこれが普及すれば、おそらくWebAuthnが最良の認証方式となります。


これからのセキュリティー

以上の対策を施すことで、パスワードが元来持つ「不信頼性」をある程度は克服することは可能です。
もちろんパスワードが諸悪の根源というわけではありません。ただ、何十年と利用され続けたパスワードが、この期に及んで未だにリスクの要因になっているのは事実といえます。
今後「安全性」再確認するとともに、課題として考えていく必要があるかと思われます。

無料お見積もり・ご相談はこちら

営業時間 8:00~20:00(土・日・祝休み)

メールアドレス

お問い合わせ

お問い合わせはこちら

電話でのお問い合わせ

Copyright © 2017 福岡パンフレット制作.com. ALL RIGHTS RESERVED.