広告

特集

パスワード:永遠に必要悪であり続けるの?

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

  • 更新しました:

パスワードは、私たちの生活のそこここで重要な役割を担っています。。パスワードは、職場のコンピューターのログイン、携帯電話のロック解除、銀行口座から現金の引き出しなどを行う際に必要なので、すべてのパスワードを覚えるというめんどうなタスクを避けることはできません。ですが、パスワードはみんなが思っているほど安全なのでしょうか?パスワードの代わりとなるものは実は存在しますが、まだ確立されていないのが現状です。

私たちの社会は所有権(プロパティー)、個人情報(プライバシー)、機密情報(コンフィデンシャリティー)をベースとして成立しています。身元確認はセキュリティーにおいて基本中の基本です。。身元を偽った場合は、アクセスできません。私たちの生活は、身元を認証して所有権にアクセスするためのキーやパスワードであふれています。これ自体は良くも悪くもなく、世の中の現状なのです。ではそもそも、パスワードとはどのようにして始まったのでしょうか。

パスワード:永遠に必要悪であり続けるの?

パスワード: 過去の遺産

コンピューターサイエンスにおいては、「ID」はマルチユーザーが使用する大規模なコンピューターで生まれました。別のユーザーになりすましたユーザーが、自分のものでないデータにアクセスすることをブロックするために、パスワードが発明されたのです。

PCのパスワードは、フェルナンド・コルバトが発明

コンピューターの操作は歴史的にほぼキーボード経由で行われてきたために、テキストによるパスワードが一般的に使われるようになりました。パスワードが発明された当時は、長すぎない文字列が使われていました。のちに、大学のインターネット環境において UNIX システムが広まったことにより、90 年代初めにセキュリティ対策としての使用が確立されました。

パスワード: 問題はあるが経済的

パスワードは、あらゆるコンピューターにおいて便利な認証システムです。キーボードによるテキスト入力は、どこからでも容易です。キーボードのないコンピューターはほとんどありませんし、パスワードで使用するテキスト文字列の保存や操作はOSで簡単に行えます。テキストベースのパスワードの技術的背景としては、簡易性、信頼性、OSを問わない可用性があげられます。

John the Ripper を使用すると、一瞬で大量のパスワードの解析処理が可能です

一方、テキストベースのパスワードは、本質的に脆弱です。パスワードを管理するシステムが原因ではなく、人間にその理由があります。人間の脳は、長い文字や数字からなる文字列を簡単には覚えられません。その結果、私たちは覚えやすいパスワードや、身の回りのものに関連付けたパスワードを設定する傾向があります。例えば、 「123456」や 「password」 といったパスワードを使用している場合すらあります。短く予想しやすいパスワードを見破ることは至って簡単です。このようなパスワードを使用すると、Facebook や Twitter といった種々のアカウントへのアクセスが可能になり、トラブルを招くことになります。

社会的な意識の喚起

強力なパスワードの重要性について、何年にもわたって喚起がされているものの、それほど成果は上がっていません。自ら災難を招くことを知っていながらも、脆弱なパスワードが引き続き多く使用されています。Web ページやアプリにおいて、パスワードの最小要件として文字列の長さや多様性(大文字、数字、特殊記号)が求められる場合もありますが、こうした場合には安全と考えられる全く同じパスワードを、ほかのページでも繰り返し使うこともあります。つまりハッカーが複数のアカウントに一度にアクセスできる状況をつくりだしていることになるのです。この原因は、セキュリティよりも利便性を優先することに起因します。残念ながら、これは標準的な人間の行動ともいえるため、すぐにこの状況が変化することは考えにくいでしょう。

パスワードを予想するのにかかる時間(秒、分など)がわかるWebサイト「How Secure is My Password

セキュリティの専門家および心理学者は、歌や詩の単語または句を文字に関連付けてパスワードを覚えやすくする記憶術を用いることを推奨しています。トラブルを回避するほかの方法としては、Dashlane(ダッシュレーン)のようなパスワード管理ツールの使用も有効です。これにより、マスターキーを作成して種々のパスワードを記憶させるだけではなく、強力なパスワードをすぐに作成できます。

パスワードの代替手段はあるが、本格的な使用はまだ難しい

テキストを使ったパスワードは直ちに問題視され、代替的な認証システムが開発されてきました。今日、代替的な認証には多様なシステムがあり、パスワードを補完する方法もあります。代替的な認証方法は 大きく4 つのカテゴリに分けられます。これには、記憶照合(トークン)、所持物照合、生体照合(バイオメトリクス)、行動照合 の 4 種類です。

記憶照合キー(知っていること)

パスワードは一般的には暗記して覚えているものです。ただ、われわれが記憶できるものは、文字に限られているわけではありません。顔、幾何学的模様、絵や画像、人生の出来事は簡単に覚えられます。記憶や感情に関連付けることで、パスワードはさほど労力を費やさなくても覚えられます。

Windows 8: ピクチャパスワードが簡単に作成可能

Androidの画面ロック法「パターン」と Windows 8 のピクチャパスワードは、従来のパスワードよりも簡単に覚えられる識別キーの 2 つの例で、このようなキーは、パスワード破りに対し防御性が高いといえます。以前から用いられている個人的な質問(「最初のペットは?」)は、明白すぎない答えや多く使いすぎない答えを指定する場合に限り効果があるでしょう。

所持物照合キー (所有しているもの)

自宅の鍵は、家に入るために常に所持している物理的な「鍵(キー)ー」です。キャッシュカードの暗証番号も、お金を引き出すための照合キーです。所有物が照合キーの場合、そのキーがデータであるか物理的な存在であるかにかかわらず、そのキーによって所有物の安全が十分に保障されるため、こうした場合には複雑なパスワードを覚える必要はありません。

コンピューター科学の分野では、物理的な照合キー(USBなど)はシステムの著作権保護に従来使われてきましたが、携帯電話が普及したおかげで2 段階認証とよばれる補完的なセキュリティシステム(例: 従来のパスワードと携帯電話に送信されたコードを入力する方式)が使われるようになりました。

生体照合 (身体的特徴)

人間の体はユニークで、指紋、目、声、顔は一人ひとり異なります。他人が特定の個人を身体的特徴によって認識するのと同様、生体照合機能が正常に搭載されたコンピューターは、ユーザー認証が可能です。Androidの顔認識および iOS7 の指紋認証センサーはこうした例です。

認証システムは、パスワード方式を置き換えるために必要なすべての要素を備えているように思われるかもしれません。例えば、このような新しい認証システムでは、パスワードを一切覚える必要はなく、簡単に盗まれることもなく、複雑なパスワードを指定する必要もない、などといわれます。しかし実際のところ、このようなシステムがどれくらい信頼できるかについては注意が必要です。

行動照合(していること)

現住所、職業、通常の行動パターンは、従来の認証システムを補完するものとして使用が可能です。このような多くの方式は自動認証で動作します。例えば、いつもとは違う場所や安全ではない環境からアクセスしていると検出されると、パスワードを使ったアクセスができなくなる場合もあります。

この種の認証はそれほど普及していません。心理的に壁も要因としてあるでしょう。照合キーを持たないことで、安全な印象がないという不安も生まれるかもしれません。

では、理想的なセキュリティシステムとは一体どういったものなのでしょうか。

異なる照合キーの組み合わせ

単一のシステムは安全とはいえません。1つ以上の認証システムを用いることは、データの安全性を引き上げるベストな方法です。セキュリティシステムの 1つが危険にさらされたとしても、もう一方のシステムによって保護を行えます。

多重認証システムは、実装上の問題があり、今後すぐ問題が克服されることはないでしょう。このようなシステムや生体認証や物理的な照合キーの導入は、大手ソフト制作会社や Webサービス提供会社のみによって可能、です。ユーザーは現在も、1 つのシステムのみの使用に慣らされています。

Google、Facebook、Twitter などの 2段階認証システムや、Appleが最近紹介した生体認証が高い評価を得ていることは、従来のパスワード認証システムから次の認証方式に移行していることを示す展望的なサインです。今後は、多重認証システム使用の増加を願いたいものです。

パスワードはこれからも使用され続けるでしょうか。

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedettiの最新作

エディトリアルガイドライン