パスワード認証は安全性が低い?パスワードレス化に向けての動き
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月19日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・認証にパスワードを使わない、FIDOに基づくパスワードレス技術
今回の解説ニュース
パスワードレス化に向けて、パスワードの現状について発表されています。今回は、パスワード認証の問題点や、パスワードに代わる認証方法について説明します。
150億以上のパスワードを分析した最近の研究で、最も人気のあるパスワードのトップ10に「123456」や「qwerty」が依然として含まれています。
また、フィッシングは2021年から2022年にかけて61%増加し、2023年もこの傾向が続いているということです。
認証にパスワードを使わない、FIDOに基づくパスワードレス技術
認証方法としてのパスワードは、相対的に安全性が低いと言われています。
パスワードの強度は、システム側で複雑な文字列を強制しない限り、あくまでもユーザの判断にゆだねられますので、多くの場合は人間が記憶できる範囲で設定されることが考えられます。
また、人間の記憶力に個人差はありますので、人によっては極めて短い文字列のパスワードを設定してしまうリスクが発生します。最もなじみのあるキャッシュカードに設定されるパスワードである数字4桁も、ユーザのセキュリティに対する理解度によっては、一般的なWebサービスでも同様な文字列が使われてしまうかもしれません。
確かに、システム側で複雑な文字列を強制すればセキュリティの問題は解決しますが、すべての問題を解決する方法にはならないかもしれません。複雑すぎる文字列は人によっては覚えることができず、ログインできない、問い合わせが増える等の問題が発生する可能性があります。システム側で複雑な文字列を強制することに踏み切れない理由の一つになっています。
今回の記事のように、認証にパスワードを使わないことは可能です。重要なシステムや金融サービスなどでは、すでに実装が進んでいます。記事内でも紹介されているFIDOの活用です。
FIDOとはFast Identity Onlineの略で、FIDO標準に基づくパスワードレス技術は、ユーザーの認証情報をオンライン接続で渡すのではなく、デバイス上で認証を行うことでセキュリティを強化しています。パスワード自体を排除することで、ユーザに脆弱性を作り込む余地を与えない、手堅いセキュリティ対策と言えます。
システムで提供されているセキュリティ機能を積極的に利用してください。FIDOも二段階認証も、ユーザが利用することで初めてセキュリティの向上が期待できます。大切な個人情報を守るために、皆さんもご利用中のサービスで提供されているセキュリティ対策について、今一度見直してみてはいかがでしょうか?