パスワードでのセキュリティはもう古い?

こんにちは。山本睦月です。

皆さんは記憶力は良い方でしょうか?
学生のころは暗記する機会も多く、何度か読み返せば覚えられましたが、最近は人の顔と名前が一致しなかったり、単語が出てこず『アレ』の登場頻度が急上昇しているところです。

多くのものはメモしておけば大丈夫なのですが、秘密にしたい情報だとリスクが伴うケースもあります。
特にキャッシュカードなど金銭の絡むものやネット上の本人確認で使うパスワードは、その管理に悩まされます。

今回はそんな悩みを解決する仕組みを取り上げていきます。


あなたのパスワードの安全度は?

パスワードに関して調べていると面白いサイトを見つけました。
こちらは入力した文字や数字がパスワードだった場合に、ハッキングされるまでにかかる時間を答えてくれるサイトです。

『HOW SECURE IS MY PASSWORD?』

もちろんあくまで目安となる程度ですが、いくつか試しに入力してみます

  • パスワード『1111』→Instantry(直ぐ)
  • まぁ当たり前ですが時間を表示するまでもないということでしょうか…

  • パスワード『yamamotomutsuki』→1 thousand years(千年!)
  • 単に桁数が多いだけだからな気がしますが、千年なら安泰ですね。

しかし普段使うとなると覚えるのも大変ですし入力するのも面倒ですね。
実はその問題を解決し更にセキュリティレベルも上げる仕組みがもう始まっています。

『多要素認証』でセキュリティレベルを上げる

多要素認証とは、本人を確認するための要素を複数持たせようというものです。
認証する要素は大きく分けて3つあります。

  • 知識情報
  • 1つ目は本人しか知りえない情報を使う『知識情報』です。
    これまで使われていたようなパスワードはこれに当たります。

  • 生体情報
  • 2つ目は本人を示す『生体情報』です。
    iPhoneなどにみられる指紋認証や顔認証などがこれに当たります。

  • 所持情報
  • 3つ目は本人しか所持していないものを使う『所持情報』です。
    これは本人のスマホやPCを使うことを指します。

これらの要素を複数組み合わせようというのが多要素認証というわけです。

こちらの仕組みは以前からGoogleアカウントの認証システムに使われており、最近では5月18日にYahoo! JapanがIDのパスワードを無効にし、携帯番号とSMS(ショートメッセージサービス)を利用したものに切り替えられました。

パスワードを無くすことで覚えなくてもいいというメリットのほかに、不正アクセスする方法で代表的な『リスト型攻撃』を解消することができます。

リスト型攻撃とは、どこかのサイトでIDとパスワードが流失した際に、そのパスワードを他のサイトでも試していくというものです。
もし同じIDとパスワードを使用していた際にはさらに被害が拡大してしまいます。

SMSで本人確認を行うなど、複数の要素を組み合わせることで被害を抑えることができます。

まとめ

様々なwebサービスが始まり共通のIDでログインできるものもあれば、別途登録が必要なサイトも数多く存在し、そのたびパスワードが必要になってきています。これからはさらにIoT化が進み、極端に言うと簡単に個人情報が流出しやすくなる恐れがあります。

より精密な生体情報を読み取れる技術の発展やブロックチェーンの導入など、世の中が便利になっていく一方で、それぞれが今の社会に必要な情報を取得し自分の身を守れる知識を身につけるのが大事だと感じました。

参考