大型の消費者データ漏洩事故に関する見出しが躍り、議論が白熱して以来、情報セキュリティに関する次なる話題は「パスワードの終焉」かもしれません。
この話は今までもずっと議論されてきたものです。Bill Gates は15年前の2004年に、パスワードの衰退を予言しました。それ以来、専門家を含む多くの人々が、新しい個人認証方法がパスワードに取って代わり、パスワードは廃れると定期的に論じてきました。それらの新しい個人認証方法には、身体的方法からコンテクストベース認証まで含まれていました。
しかし、私たちは未だにパスワードを使用しているのみならず、以前にも増して使うようになっています。アカウントやデバイスが増えたためです。2015年に20,000の受信ボックスのデータを匿名化し調査した結果、平均的なユーザーは90のオンラインアカウントを持っていることがわかりました。そしてその数は5年毎に倍増していくことが予想されました。つまり、あと1年経てばまた倍増することになります。
私たちは遂に、「パスワードレス」な未来に突入するのでしょうか?私たちをオンラインサービスよりもデバイスのウェブ認証へと促す新しいオープンスタンダードにより、ようやくパスワードからの卒業がもたらされるのかもしれません。しかし、今回こそ今までとは違うかもしれないその理由を理解するためにまず、なぜパスワードには問題が多いのか、そしてなぜ私たちは未だにパスワードを使っているのかを見ていくことにしましょう。
パスワードが多いほど、問題も多い
パスワードを記憶することは非常に難しいものです。2015年の同調査では、1つの受信ボックスにつき平均37通のパスワード忘れに関するメールが見つかりました。パスワードマネージャーを使ったとしても、複雑で強いパスワードを作って覚えることには相当の難しさが伴います。そして、もしあなたが複数サイトで同じパスワードを使い回しする何百万人ものユーザーの1人だとしたら — 例えば、銀行口座へのログインパスワードと MillenialMemes(実在しないサイトです)のサブスクリプションに同じパスワードを使っていたなら — あなたの銀行口座へのログインは裏マーケットで少なくとも100ドルの現金価値がある一方で、MillenialMemes のサブスクリプションは無料です。このような複数サイトでのパスワードの使い回しは「リスクの網」を生み、一つのサービスでパスワードが漏れた場合、多数のサイトに被害が及びます。
企業の場合はさらに高くつきます:盗難パスワードはセキュリティ漏洩の原因の81%を占め、情報漏洩事件は1件毎に平均390万ドルのコストが発生します。セキュリティ事故がまったく起こらなくても、忘れたパスワードのリセットは大企業に年間約100万ドルのコスト負担をもたらします。
ではなぜ未だにパスワードが使用されるのか?
多くの面で、パスワードはより大きな問題の症状だと言えます。最初からセキュリティをインターネットに組み込めていないという問題です。長年、私たちは何とか切り貼りして穴を塞ごうと努力してきましたが、その中でパスワードは最もマシな選択肢だったというだけのことで、それにより一度につき一つのアカウントの保護が可能となりました。VPNやハードウェアトークン、電話ベース認証、生体認証等の代替手段は、想定ほどうまくいかなかったか、経済的に合理性がなかったかのどちらかです。
電話ベース認証は概ね通話や SMS メッセージに基づいています。これらはユーザーの電話番号に紐づけられるため、ソーシャルエンジニアリングや携帯ネットワークのハッキングにより、電話番号のリルートがいとも簡単に可能となってしまい、大根役者でもメッセージや通話を傍受して偽の認証を行うことが可能となってしまいます。
生体認証は一見、最も便利で個人のアイデンティティへの個別対応ができているように見える一方で、偽造があまりに容易で、ユーザーがネットワークのハッキングやマルウェアから保護されません。例えば、高解像度の写真があればいくつかの顔認証ソフトを通過できます。また生体認証にはプライバシーやバイアスへの懸念も指摘されます。研究によると、生体認証は女性や濃い色の肌を持つ人では認証がずっと不正確になることが示されています。空港の顔認証は最も新しい生体認証の一つですが、市民の自由に関する懸念が叫ばれています:もし政府やその他機関が非明示的なバイアスのかかった生体認証の中央データベースを保持し、その盗難や悪用が可能とすれば、一体どうなってしまうでしょうか?
ユーザーを認証するデバイスであるトークンには、パスワードの代わりとなるポテンシャルがありますが、経済的な理由で広範囲の普及が止まっています。ユーザーは Twitter や Gmail、Facebook へ個別にログインするため、これらの各サービスをトークンで置き換えるためには30ドルするドングルが何十個も必要となります。
遂に一つのトークンですべてに対応
しかし、もしユーザーが各サービスへ個別にログインしなくてもよかったら? 一つのトークンですべてに対応できたら? 「アカウント認証」から「デバイス認証」への移行により、それが可能になります。各アカウントへ別々にログインするのではなく、ラップトップや携帯電話等のデバイスを認証し、そのデバイスからすべてのオンラインアカウントへアクセスが可能となるのです。
これはユーザーエクスペリエンスとセキュリティを向上させるポテンシャルを持つ一対多認証アプローチで、パスワード不要です。またこれまで長きにわたりパスワードよりも優れた方法を探ってきた新しい標準コンソーシアムが、この移行を促進しています。2013年には FIDO Alliance がいくつかのオープンスタンダード案を起案し施行しました。そのうちの一つが、ウェブブラウザにネイティブで組み込まれたクレデンシャル管理 API の WebAuthn です。WebAuthn はパスワードやユーザー情報をサードパーティサーバーに転送することなく、認証済みデバイスにサービスを登録する安全な方法を提供します。
ユーザーにとっては、ハードウェアトークン(YubiKey をコンピュータに差し込む)等でラップトップや携帯電話へ一度「サインイン」すれば良いだけなので、より便利になります。これは複数パスワードを再利用するメリットそのものです。つまり、パスワードの使い回しという悪しき習慣なしにすべてのサービスへアクセス可能となる一つのキーというわけです。そしてユーザーは何十ものパスワードを記憶しなくても、一つのキーだけですべてのサービスへアクセス可能となるのです。
またこれは、強力な2段階または多段階認証を提供します。その人が誰か、その人が何を知っているか、ユーザーのアイデンティティを証明する何を持っているかを組み合わせたものです。デバイスベースのセキュリティで認証はローカルで行われるため、データ漏洩の最大の原因となる、パスワードがサーバー上に保管されるリスクがありません。もしデバイスが盗まれても、アクセスにはトークンが必要となります。
もちろん、デバイスベースのセキュリティには限界があります。私たちはデフォルトでセキュリティが担保されたデバイスを作ろうと長い間努力してきましたが、最も良くできたものでも、たった一つの不注意で破られてしまう可能性があります。例えばログインしたデバイスを持ち主不在で放置したり、ハードウェアトークンを盗まれてハッカーが別のデバイスで認証したり、といったケースです。ユーザーが新しいデバイスを使うたびにデバイス登録プロセスを通らなければならないことも、ユーザーエクスペリエンス上の軋轢を増加させることになるかもしれません。さらに、クラウドによりデバイスへの依存が減ったため、ローカルデバイス外からでもセキュリティ情報へアクセス可能となっています。私たちはパスワード以外での進歩もいくらか遂げてきましたが、セキュリティに関して完璧なプラクティスのセットというものはあり得ません。そこには常にリスクが伴います。
しかし全体的には、デバイスベース認証とWebAuthn 等のオープンスタンダードは、認証において、より便利で安全性の高い至高の目標となるかもしれません。オープンスタンダードやそれをサポートするハードウェアの普及により、ようやく今、可能となったのです。未来のデバイスベースの多段階認証はおそらく複数の方法のミックスになるでしょうが、オープンスタンダードとの組み合わせにより相互運用がより可能となります。また業界もハードウェアトークンが最も安全性の高いアプローチと見ているようで、そこにはクレジットカードのチップ、携帯電話の SIM、iPhone や Yubikey のエンクレーブが含まれます。昔は業務用ハードウェアを買うためには、通常エンタープライズソフトウェア会社に連絡し、営業担当と話し、見積もりをもらい、発注書を切り、発送まで数週間待つのが普通でした。今日では、業務用のスタンダードベースセキュリティテクノロジーはアマゾンで購入可能で、数日のうちに自宅に配達されます。
パスワードが完全に死に絶えることはないのかもしれませんが、これらの傾向は、私たちが使うパスワードが一つ減るたびに、より安全でよりよい明日へと一歩近づくことを意味しています。
著者紹介
記事情報
この記事は原著者の許可を得て翻訳・公開するものです。
原文: Passwords Are Dead… Again (2019)
