ITmedia NEWS > セキュリティ >
ニュース
» 2021年01月27日 15時27分 公開

パスワード使い回しは危険、ならば「今日からできること」を考えようサイバーセキュリティ2029(2/2 ページ)

[宮田健,ITmedia]
前のページへ 1|2       

もう一つの新機軸は「IDを使い回ししない」?

 もう一つのパスワード情報漏えい対策をご紹介しましょう。個人的にも気に入ってるのは最近多くのサイトで利用可能な「Appleでサインイン」です。

 この機能は、よくあるSNSアカウントでサインインする機能と似ているのですが、大きな違いはログインのための「メールアドレスを非公開」にできることです。Appleの解説文を引用しましょう。

一意でランダムなメールアドレスが作成されるので、アカウントの設定やサインインプロセスに際して、AppやWebサイトのデベロッパーに個人用のメールアドレスが伝わることはありません。このアドレスはユーザーとデベロッパーを一意に特定し、<一意の英数字の文字列>@privaterelay.appleid.com という形式になります。

例えば、Apple IDが j.appleseed@icloud.comの場合、あるApp用の一

意でランダムなメールアドレスはdpdcnf87nu@privaterelay.appleid.comのようになります。この一意のリレーアドレスは、アカウントを作成した特定のAppやWebサイトの開発者からの通信専用に使われます。ほかのAppやサービスで再利用することはできません。

 これを利用すると、よくあるメールアドレスをIDとするサービスに対しては、IDを使い回さないという運用になります。そのため、万が一パスワードを使い回し、メールアドレスも使い回しているサイトからID、パスワードの情報漏えいが発生した場合も、メールアドレスが異なるのでログインは成功せず、二次被害を防ぐことができるはずです。「Appleでサインイン」したサイトで同様の情報漏えいが発生したとしても、メールアドレスはそこでしか使っていないものなので、淡々とパスワードを変更すれば対処完了です。よくある「パスワードは定期変更しましょう」などという場当たり対応も不要ですね。

 この仕組みも、一意のランダムなメールアドレスはApple側で自動生成されます。もちろん、Appleがevilになるリスクをどう考えるかは利用者の考え方次第ではありますが、プライバシーに関してかなり力を入れ踏み込んで指針を出している企業でもあるので、個人的には信頼しています(信頼せざるを得ない、といったほうが妥当かもしれませんが……)。

photo Appleでサインイン

パスワードを便利にするにはサービス側の努力も必要

 いますぐにでも、これらの技術を使えば、それなりにパスワードがいらない世界に行くこともできます。しかし、問題はサービス側にあることも多く、例えば自動生成したパスワードが、“記号必須”や“数字必須”など、サービス側の(無意味な)縛りや、ログインページでなぜかコピー/ペーストを禁じているためにパスワード管理ツールからのパスワード入力が行えないなど、利用者側ではどうしようもない場合も多いです。

 また、パスワード管理ツールでパスワードを1つにした場合でも、第三者がそのパスワードを変更することができては意味がありません。そのため、ログインIDとして登録したメールアドレスそのものをしっかり守る必要があります。メールボックスにアクセスできてしまえば、パスワード変更の確認メールが奪われてしまいますからね。そのため、メールサービスのID/パスワードはしっかり守るだけでなく、2段階認証を必ず設定しておきましょう。

 いまだにFAXがなくせないように、パスワードが無くなる世界を実現するにはかなり時間がかかるかもしれませんが、パスワードが必須な世界ならば実現はそう遠くないと思っています。ただし、その時代であってもパスワードを守る代わりに、生体認証の鍵となるスマートフォンそのものをどう守るかといったことは考える必要があるでしょう。その未来を引き寄せるためには、いまできることを変えていかなくてはならないはず。まずは「パスワード管理ツール」からスタートすることをお勧めいたします。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.