　ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことも必要でしょう。

　本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。

連載：今さら聞けない「認証」のハナシ

認証セキュリティ専門企業であるパスロジが、専門用語が飛び交いがちなセキュリティの知識・話題から、「認証」関連分野を中心にできるだけ分かりやすく紹介します。

　本連載の第1回で、本人認証に使われる要素は「知識」「所有」「生体」の3種に分けられ、これらは「認証の3要素」と呼ばれると紹介しました。

　今回は、知識要素を使用して認証する知識認証の代表格である「パスワード」について、利用する際のTIPS的な内容を、利用者とサービス事業者それぞれの立場から話します。

画像はイメージ

最も一般的な認証方法「パスワード認証」

　知識認証の最も一般的なものは「パスワード認証」です。念のため説明しますと、下記の手順で利用します。

サービス登録時にID（アカウント名）と一緒に、オリジナルの文字列をパスワードとして登録

↓

ログイン時にIDと一緒にパスワードを入力

↓

パスワードが登録時のものと合致していればログイン成功

　登録時のパスワードを知っているのは自分だけのはずなので、ログイン時に自分であることを証明できるという仕組みです。

　知っているのは自分だけなので、基本的に自分が誰かに知らせたり、メモを残したり、記憶から出すようなことをしなければ他人に知られることはありません。あとは、入力している場面の盗み見や、マルウェアなどによるキー入力の詐取に注意すれば、拷問や薬物などの暴力的な手段に訴えない限り、第三者がパスワードを奪うことはできないでしょう。

　サービス提供側とユーザー側で、認証用の機器など新たにモノを用意する必要もなく、低コストで導入できるのも特徴です。このような強みを持つパスワードですが、昨今ではパスワードの脆弱性から引き起こされる事件がいくつもニュースになっています。パスワードの脆弱性とは何かを考えてみましょう。

パスワードより、人間の脆弱性が問題

　パスワード情報は先ほど述べたように、記憶から出さない限り漏えいすることはありません。しかし、実際にはパスワードを誰かに知られてしまい、不正ログインされる事件が発生してしています。

　パスワード盗用による不正ログインは、主に以下の理由によるものです。

推測されやすいパスワードにしてしまっている
メモに書くなど、記憶から出して保管している
利用者側ではなく、サービス側から漏えい

　（1）と（2）は利用者側の不手際、（3）はサービス提供者側の不手際になります。

　利用者が（1）と（2）を行ってしまうのは、複雑なパスワードは作るのが面倒で覚えるのも困難だからです。実は（2）については、メモに書いて保管すること自体は問題ありませんが、メモをきちんと保管しなくてはいけません。「専用のメモ帳を持ち歩く」「メモを財布の中に入れておく」「普段から持ち歩くスマートフォン内にメモしておく」など、貴重品と同等の取り扱いをする必要があります。このような扱いをせずに、「いちいち取り出すのが面倒だから」という理由で、誰かの目につくところに放置してしまうことに問題があります。

　つまり、（1）も（2）も、人間の能力が追い付かないという人間側の脆弱性のためだと言えるでしょう。

予想されそうなパスワードは避けよう（画像はせぐなべより転載）

　（3）については、利用者個人ではどうしようもなく、サービス側がきちんと管理してくれることを信じるしかありません。利用するサービスによって異なるパスワードを設定しておけば、特定のサイトで漏えいしたとしても二次被害を防げます。しかし、ここでも「別々のパスワードを作って管理するのは面倒だ」という人間の脆弱性が顔を出します。

　「もうパスワードは面倒くさい！　別の認証方法にしてくれ！」と言いたいところですが、現状は別の認証方法に対応していないサービスがほとんどです。別の認証方法の導入には、認証用の機器を用意するコストがかかるので、規模の大きいサービス業者以外は二の足を踏んでいる状況でした。しかし、スマートフォンの普及により、スマートフォンを認証用機器として利用する方法なら低コストで導入できるようになってきました。

　とはいえ、スマートフォンを持っていない人への対応や、利用者が認証のたびにスマートフォンを取り出したり、アプリを切り替えたりする手間があることも事実です。生体認証もまだ課題があり、普及の具合もスマートフォンはともかくPC利用のことを考えると十分とは言えない状況です。

　いまはいわゆる過渡期で、まだまだパスワードはなくならないでしょう。ですので、この「面倒くささ」をできるだけ回避しつつ、安全なパスワード作成・管理ができる方法を考えてみたいと思います。

攻撃の手口は

　　　　　　 1|2|3|4 次のページへ