パスワードはもうすぐ時代遅れに？

パスワードはもうすぐ過去の遺物になるのでしょうか？すでに時代遅れになっているのでしょうか？おそらくこれは、最近の技術メディアで頻繁に取り上げられているトピックの1つでしょう。.

昨年末、Forbes.comの記事で、GoogleがYubico社と協力して作り上げた、新しい認証方式である U2F (Universal Second Factor) を発表するであろうということが伝えられました。U2Fによって、Googleは「Webがより簡単で強力な認証に移行するのを支援することを期待しています。そうなると、Webユーザはオープンスタンダード上に作りこまれた使いやすく安全な認証装置を一つだけ保持することになります。この装置はWeb全体で使うことができます」。この記事に続くメディアのレポートが、昔からのパスワードはもうすぐ消えて無くなるという見当違いの憶測を煽り立てています。

U2Fはかなりの騒ぎを引き起こしています。サンフランシスコで開催された2013年2月のRSAカンファレンスのセッションで繰り返されたバズワード「パスワードは死んだ」と同じようです。そうしている間に、パスワード反対の嘆願 の運動が広がり、昨夏にメディアの注目を集めました。パスワードを使用しない技術を販売する会社のグループが始めたオンライン請願は、 「パスワード忘れに対するイライラした叫びをことごとく集める のに使われており、責任のある企業がこの声を聞くべきだ」としています。

もちろん、人々は10年近くもの間、パスワードがなくなると推測していました。Microsoftのビル・ゲイツ会長は、2004年に、 パスワードの終焉を予測 、また2006年にも パスワードの終焉が見えてきた と述べました。ゲイツ会長だけではありませんでした。多くの有名人や業界アナリストが、パスワードがなくなることをずっと予言していました。でも、いまだにパスワードは引き続き認証で最もよく使われているのです。

パスワードに対する不満

オンライン・アプリケーションの普及に伴い、生活のいろいろな場面でさまざまなパスワードが使われるようになりました。何十ものパスワードを憶えておくのは無理です。記録するとまた別の問題が起きます。また、自力で管理するのも大変です。

オンラインIDの盗難などセキュリティ違反事件が注目されると、多くの人々はパスワードが無くなって欲しいと思います。このようなセキュリティ違反によってパスワードとは別の選択肢についての議論が沸き起こり、「パスワードがついに使えなくなったら、長く使えるような別の選択肢があるのか？」という疑問が頻繁に出てきます。

別の選択肢はたくさんあるが、長く使えそうなものがない

パスワードとは別の選択肢として、生体認証、虹彩認証、顔認証、さまざまな形式の多要素認証、さらには時計や宝石、電子タトゥーのような所持品による認証さえも議論されています。

昨年、Apple社はタッチID指紋センサーを発表しました。これは、iPhone 5Sに組み込まれています。タッチIDは、「複雑な文字列や数字の列を覚える必要なく」ユーザが指を押し付けることで携帯電話が使えるようになります。タッチIDの発売で、メディアもすぐにパスワードがなくなるということを伝えるようになりました。

興味深いことに、これらのパスワードを使わない認証方式のいくつかは、広く採用される前に破られています。数年前、ある研究者のグループが正当なユーザのうその写真を使って、生体顔認証システムを打ち破りました。

パスワードより優れた認証方式を開発するために研究も精力的に続けられています。

しかしながら、さまざまな理由で、いままでのところどの認証方式もうまくいっていません。パスワードはとても簡単に作成でき、しかも無料です。他方、パスワードとは別の認証方式は、一般に高価です。既存の環境に統合するのが困難で、使い方も難しく、新たにハードウェアコンポーネントも必要になります。

パスワードは残り、安全保護に貢献します

今のところ、従来のパスワードに代わるような方式は見当たりません。パスワードを置き換えるような次世代のセキュリティ技術が現れた場合でも、広く受け入れられて採用されるまでには時間がかかるでしょう。これらのことすべてを考えると、パスワードはしばらくの間は使われ続けることでしょう。

一般に、パスワードは安全ではなく、厄介なものと認識されています。その弱みを気にするあまり、現実の問題を見過ごしてしまっています。現実の問題とはパスワード管理の不備です。パスワードそのものではありません。

ストロングパスワードを覚えることができないので、ユーザはどこでもシンプルなパスワードを使用し、再使用しがちです。パスワードをテキストファイルに保存したり、ポストイットで貼り付けたり、チームメンバー間でクレデンシャルを共有したり、セキュアログインの詳細情報を電子メールで送ったり他人に話たりしています。アクセスコントロールが厳格に励行されておらず、取り扱いに注意が必要なリソースやアプリケーションに対するパスワードが何年も変更されていません。そのような脆弱なパスワード管理によって、セキュリティその他の問題が引き起こされています。

パスワード管理ツールの利用

パスワードとは別の認証方式の研究が続けられていますが、一方で、データを守るためにパスワード管理ツールを導入するのは賢明な選択です。 パスワード管理ツール によって、パスワードを覚えておくのに苦労することもなく、すべてのパスワードを集中レポジトリに安全に保管し、ユニークなストロングパスワードを使用し、パスワード管理のベストプラクティスを自動的に実践し、リソースやアプリケーションへのアクセスを制御し、アクティビティを監視し、その他多くのことができます。

どのパスワード管理ツールを使うべきか思案しているならば、 ManageEngine Password Manager Proを試してみてはいかがでしょうか？

Password Manager Pro – 評価版ダウンロード（無料） | 導入事例