ITmedia NEWS > セキュリティ >
ニュース
» 2021年01月27日 15時27分 公開

パスワード使い回しは危険、ならば「今日からできること」を考えようサイバーセキュリティ2029(1/2 ページ)

ITセキュリティについて、今できることを考える連載、第2回は「パスワードの使い回し」問題について。

[宮田健,ITmedia]

 本連載はタイトルにあるように「近未来のITを守るためにいまできること」を考えていきたいと思います。特にセキュリティにおいては1年後を想像することも難しく、その意味では大仰なタイトルにしてしまったことを反省しているのですが、近未来に実現されていることを希望することは自由です。おそらく多くの方に取って、すぐにでも実現してほしいことは「パスワードをなんとかする」ことではないでしょうか。


 言葉にはしていないと思いますが、私たちを取りまくパスワードはもはや破たんしているといっていいでしょう。私もいろいろなコラムで「パスワードを使い回すことはやめましょう」と言い続けています。しかしその実、世間ではパスワード使い回しに起因する攻撃が成功してしまい、新たな被害者が生まれています。「安易なパスワードを使い回すことは自己責任だ」というのは簡単ですが、未来の世界ではこの悩みが解消されているはずだと、私は信じています。

 そこで、今回はパスワードにまつわる「今日からできること」を考えていきたいと思います。パスワードの使い回しをしないという理想を、極力手をわずらわせることなく実現する方法はあるのでしょうか?

「生体認証こそゴール」?

 「パスワードをなくす」という話題では、その解決方法の一つとして「生体認証」が取り上げられます。これまではハイセキュリティが必要なエリアのために、一部のPCベンダーがオプションでデバイスを用意していたような認証方法ですが、いまでは手元にあるスマートフォンに内蔵され、多くの人が既に活用しているのではないかと思います。

 生体認証は、確かに非常に強力な仕組みといえるでしょう。コンシューマー向け製品では指紋認証、顔認証ともにそれなりの精度で本人を認証可能です。グミで指紋をコピーするなど突破する方法もそれなりに存在しますが、1日に何度も画面ロックを解除するという方に取って、もはやなくてはならない機能といえます。

 しかし、この生体認証があればパスワードをなくせるかというとちょっと微妙です。というのも、生体認証が強力なのは、成り済ましができないこと。つまり「本人ですら替えが効かない」点にあります。そのため、これそのものをパスワード情報として使うことは、二度とパスワードが変更できないことと同様になってしまいます。これでは困りますよね。

 そこで、多くの場合、生体認証は「デバイス単体の認証器として活用し、セキュリティチップとの通信を認可する」という使い方をしている例が多いです。よく顔認証が怖いといわれるのは「顔の写真が収集されるので、情報漏えいしたら怖い」という誤解がありますが、ほとんどの生体認証は特徴点だけを記録し、その情報もデバイス内に閉じ込めています。この仕組みをうまく使ったものは既に実用化されており、Yahoo!やLINEはFIDO 2.0仕様に沿った「パスワードのいらないログイン」を実現しています。

いますぐできる? パスワードが1つしかいらない世界

 多くのサービスがそういった先進技術を導入してくれればよいのですが、なかなかうまく普及していないというのが実情です。明るい未来を待つ前に、いまできることはあるのでしょうか。個人的には「パスワード管理ツール」を推奨したいと思います。

 パスワード管理ツールとは、各サービスで必要とされるID/パスワードとサービスのURLを記録し、Webブラウザで該当ページを開くと自動でID/パスワードを入力してくれるというもの。実はURLとID/パスワードが対応するので、いくらそっくりなフィッシングサイトに誘導されても、URLが違えばID、パスワードが自動入力されないため、フィッシング対策にもなるというシロモノです。個人的にはWindows 10時代において、ウイルス対策ソフトよりも優先度が高い有料セキュリティソフトだと思っています。お金をかけるならこっちにしましょう。

 もはや現代において、IDとパスワードは「覚えるべきではない」情報です。覚えなければならないから、パスワードの使い回しが発生します。頑張って覚えるのではなく、もう覚えないためにパスワード管理ツールを使います。特に便利なのは、パスワード管理ツールは強いパスワードを自動生成してくれること。パスワードをツールに作らせることで、使い回しをITの力で防げます。

photo 筆者が利用しているパスワード管理ツール「1Password」でパスワードを自動生成した例。十分な長さであるため記号や数字などを入れなくても強い

 市販されているパスワード管理ツールは「1Password」や「LastPass」などがあります。その名の通り、これらのツールは最後の、たった一つのパスワード――もちろん、パスワード管理ツールを利用するためのパスワード――だけを記憶しておけば、あとはツール任せにできます。その最後のパスワードもPCに内蔵された生体認証を活用できるので、もはやパスワードは、いますぐ過去の遺物にできる……かもしれません。

 もしパスワード管理ツールにお金をかけたくない場合、Webブラウザの機能としてもパスワード保存機能があるので、それを利用してもよいでしょう。この場合も、Webブラウザを他人に触らせないよう、画面ロックをする必要があるでしょう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.