「パスワード疲れ」に苦しむネットユーザー
このニュースをシェア
【6月29日 AFP】安全なパスワードを探しているなら、「HQbgbiZVu9AWcqoSZmChwgtMYTrM7HE3ObVWGepMeOsJf4iHMyNXMT1BrySA4d7」を試してみては?暗記できれば、の話だが。
この例はオンラインのパスワード生成サイトで生成したパスワードだが、バーチャル(仮想)生活での安全を守るとなると、63文字のランダムな英数字、これが最高のパスワードと言える。
だが、数百万人のインターネットユーザーが身をもって学んできたように、自社サーバーを十分に保護できていない銀行、電子メールサービス、小売業者、ソーシャルメディアなどのサイトから、ユーザーのパスワードがハッカーにごっそり盗まれる事態が現実に起こりうる状況では、安全なパスワードなど存在しないのだ。
その上、技術が急速に成長している中で、コンピューターの恐竜時代の遺物とも言うべき「ユーザー名とパスワード」方式が、なぜいまだに標準であり続けているのだろうか。
「答えは信じられないほど簡単。『安いから』だ」と話すのは、ノルウェーのオンラインセキュリティー専門家で、7月に米ネバダ(Nevada)州ラスベガス(Las Vegas)で開催される世界で唯一のパスワード専門会議「PasswordsCon」を主催するペア・トーシャイム(Per Thorsheim)氏。
同氏は「ソフトウェアベースのトークン、ハードウェアベースのトークン、バイオメトリクス(生体認証)などの使用を伴う2段階認証など、パスワード方式の他に何かを加えたい場合、プラスアルファが必要になる。それにより、費用が余分にかかる」とAFPに語った。
最初の頃は、すべてがあまりに簡単だった。
最も初期のコンピューターには、部屋ほどの大きさの大型汎用機だけでなく、スタンドアローン(独立)型の機器もあった。これらは互いに接続されることはなかったので、パスワードはごく少人数のオペレーターしか必要とせず、そういった人々はおそらく皆顔見知りだった。
その後インターネットが登場し、急増するコンピューター、スマートフォン(多機能携帯電話)、タブレット端末を、世界中に張り巡らされた1つのネットワークに結びつけた。これにより、見知らぬ者同士が互いに身元を確認するための何らかのバーチャルな手段が必要になった。
こうしてパスワードがあまりに増え続けてきたために、ユーザーは、パソコン1台だけでなく、数台の機器すべてで、数十個ものパスワードを適切に管理するために、日々奮闘する事態に陥っている。
この現象には「パスワード疲れ」という名前さえも付けられている。
米セキュリティー対策ソフト大手シマンテック(Symantec)が提供するセキュリティー対策ソフト「ノートン(Norton)」のインターネット・セキュリティー推進者、マリアン・メリット(Marian Merritt)氏は、「人々がパスワードというものを真剣に捉えてこなかったために、非常に大規模なパスワード流出事件が数多く発生した」と話す。
画像ベースのパスワード代替機能を開発している米コンフィデント・テクノロジーズ(Confident Technologies)のサラ・ニーダム(Sarah Needham)氏は「スマートフォンやタブレットからウェブサイトにアクセスするユーザーが増えるにつれて、パスワードの手入力がますます面倒になっている」と述べた。
24か国を対象とした昨年のノートンによる調査では、ユーザーの4割が複雑なパスワードを使用していない、またはパスワードを定期的に変更していないことが明らかになっている。
ノートンと競合する米インターネット・セキュリティー大手マカフィー(McAfee)が行った調査では、ユーザーの6割以上が、パスワード入力の必要なウェブサイト5~20か所に定期的にアクセスしており、同程度の割合のユーザーが、使いやすいパスワードを好むことが明らかになったという。
この話題を扱った最初の本の1冊、「Perfect Password: Selection, Protection, Authentication(完璧なパスワード:選択、保護、認証)」(2005年出版)の著者であるマーク・バーネット(Mark Burnett)氏によると、最も広く使われているパスワードは「password」や「123456」だという。
■バイオメトリクスの普及近づく
米カリフォルニア(California)に本拠を置くネットワークセキュリティー企業、フォーティネット(Fortinet)の製品管理部門を統括するカール・ウィンザー(Carl Windsor)氏は、雇用主のユニックス(Unix)システム全体に、同意を得た上で、フリーウエアのパスワード解読プログラム「John the Ripper」を実行したことがあるという。
ウィンザー氏は数秒以内に、同システムのパスワードの3分の1を入手し、数分以内にもう3分の1を入手した。「同僚の『超安全』なパスワードを5分かからずに見つけて、賭けにも勝てた」と同氏はAFPに電子メールで語った。
さまざまなパスワード代替機能の開発が進行中だ。
米グーグル(Google)は、ユーザーに個別にコード化した指輪で機器をタップしたり、ユビキー(YubiKey)と呼ばれる固有のIDカードをコンピューターのUSBポートに差し込んだりするアイデアを検討している。
米ペイパル(Paypal)も参加しているコンソーシアム(共同企業体)「FIDOアライアンス(FIDO Alliance)」は、例えばウェブサイトでスマートフォンユーザーがタッチスクリーン上に指先を置いて身元確認を行えるようにするオープンソースのシステムを推進している。
FIDOのラメシュ・ケサヌパリ(Ramesh Kesanupalli)副社長は「こうした(生体認証)技術は現在、非常に成熟しており、コスト効率も高く、消費者市場に本格的に投入するための体制が整っている」とAFPに語った。
FIDOの技術は、早ければ今年中には提供できるだろうと同氏は述べている。これは、バイオメトリクスが5年以内にパスワードに取って代わるだろう、とした米IBMのデービッド・ナハムー(David Nahamoo)研究員による2011年の予測を上回るペースだ。
米通信機器大手モトローラ・モビリティ(Motorola Mobility)の研究部門を率いるレジーナ・デューガン(Regina Dugan)氏はさらに先を行き、「パスワード錠剤」を提案している。この錠剤には、胃酸で作動するマイクロチップとバッテリーが組み込まれており、ここから発信される信号が、固有のID信号になる仕組みになっている。
現在のところ、インターネットサービスの多くで、ユーザーに「飼っているイヌの名前は?」などの追加質問に答えさせたり、携帯電話へのSMSメッセージ経由で1回限り使用可能な数字コードを発行したりする、2段階認証が採用されている。
また、ラストパス(Lastpass)、キーパス(KeePass)、ワンパスワード(1Password)、ダッシュレーン(Dashlane)や、米アップル(Apple)から発表されたばかりの「iCloud Keychain」などのオンラインパスワード管理サービスも次々と登場している。
これらのサービスは、個人のパスワードを一か所に集め、安全に保管することを約束している。保管されているパスワードには、1個のマスターパスワードでアクセスできる。だがこのアイデアを、最も確実なパスワード代替機能が現れるまでの「応急措置」と見なす専門家もいる。
代替機能が現れるまでの間は、文字、数字、記号を組み合わせた、できるだけ長い文字数のパスワードにすることと、2か所以上のウェブサイトで同じパスワードを絶対に使用しないことが2大原則になるという点では、多くのセキュリティー専門家らが意見を同じくしている。
ここから先は、祈るしかない。使用しているウェブサイトが、あなたのバーチャル世界への扉を開く鍵を守るために、ウェブサイト側でできることをすべて実行していてくれることを。(c)AFP/Robert MacPherson
この例はオンラインのパスワード生成サイトで生成したパスワードだが、バーチャル(仮想)生活での安全を守るとなると、63文字のランダムな英数字、これが最高のパスワードと言える。
だが、数百万人のインターネットユーザーが身をもって学んできたように、自社サーバーを十分に保護できていない銀行、電子メールサービス、小売業者、ソーシャルメディアなどのサイトから、ユーザーのパスワードがハッカーにごっそり盗まれる事態が現実に起こりうる状況では、安全なパスワードなど存在しないのだ。
その上、技術が急速に成長している中で、コンピューターの恐竜時代の遺物とも言うべき「ユーザー名とパスワード」方式が、なぜいまだに標準であり続けているのだろうか。
「答えは信じられないほど簡単。『安いから』だ」と話すのは、ノルウェーのオンラインセキュリティー専門家で、7月に米ネバダ(Nevada)州ラスベガス(Las Vegas)で開催される世界で唯一のパスワード専門会議「PasswordsCon」を主催するペア・トーシャイム(Per Thorsheim)氏。
同氏は「ソフトウェアベースのトークン、ハードウェアベースのトークン、バイオメトリクス(生体認証)などの使用を伴う2段階認証など、パスワード方式の他に何かを加えたい場合、プラスアルファが必要になる。それにより、費用が余分にかかる」とAFPに語った。
最初の頃は、すべてがあまりに簡単だった。
最も初期のコンピューターには、部屋ほどの大きさの大型汎用機だけでなく、スタンドアローン(独立)型の機器もあった。これらは互いに接続されることはなかったので、パスワードはごく少人数のオペレーターしか必要とせず、そういった人々はおそらく皆顔見知りだった。
その後インターネットが登場し、急増するコンピューター、スマートフォン(多機能携帯電話)、タブレット端末を、世界中に張り巡らされた1つのネットワークに結びつけた。これにより、見知らぬ者同士が互いに身元を確認するための何らかのバーチャルな手段が必要になった。
こうしてパスワードがあまりに増え続けてきたために、ユーザーは、パソコン1台だけでなく、数台の機器すべてで、数十個ものパスワードを適切に管理するために、日々奮闘する事態に陥っている。
この現象には「パスワード疲れ」という名前さえも付けられている。
米セキュリティー対策ソフト大手シマンテック(Symantec)が提供するセキュリティー対策ソフト「ノートン(Norton)」のインターネット・セキュリティー推進者、マリアン・メリット(Marian Merritt)氏は、「人々がパスワードというものを真剣に捉えてこなかったために、非常に大規模なパスワード流出事件が数多く発生した」と話す。
画像ベースのパスワード代替機能を開発している米コンフィデント・テクノロジーズ(Confident Technologies)のサラ・ニーダム(Sarah Needham)氏は「スマートフォンやタブレットからウェブサイトにアクセスするユーザーが増えるにつれて、パスワードの手入力がますます面倒になっている」と述べた。
24か国を対象とした昨年のノートンによる調査では、ユーザーの4割が複雑なパスワードを使用していない、またはパスワードを定期的に変更していないことが明らかになっている。
ノートンと競合する米インターネット・セキュリティー大手マカフィー(McAfee)が行った調査では、ユーザーの6割以上が、パスワード入力の必要なウェブサイト5~20か所に定期的にアクセスしており、同程度の割合のユーザーが、使いやすいパスワードを好むことが明らかになったという。
この話題を扱った最初の本の1冊、「Perfect Password: Selection, Protection, Authentication(完璧なパスワード:選択、保護、認証)」(2005年出版)の著者であるマーク・バーネット(Mark Burnett)氏によると、最も広く使われているパスワードは「password」や「123456」だという。
■バイオメトリクスの普及近づく
米カリフォルニア(California)に本拠を置くネットワークセキュリティー企業、フォーティネット(Fortinet)の製品管理部門を統括するカール・ウィンザー(Carl Windsor)氏は、雇用主のユニックス(Unix)システム全体に、同意を得た上で、フリーウエアのパスワード解読プログラム「John the Ripper」を実行したことがあるという。
ウィンザー氏は数秒以内に、同システムのパスワードの3分の1を入手し、数分以内にもう3分の1を入手した。「同僚の『超安全』なパスワードを5分かからずに見つけて、賭けにも勝てた」と同氏はAFPに電子メールで語った。
さまざまなパスワード代替機能の開発が進行中だ。
米グーグル(Google)は、ユーザーに個別にコード化した指輪で機器をタップしたり、ユビキー(YubiKey)と呼ばれる固有のIDカードをコンピューターのUSBポートに差し込んだりするアイデアを検討している。
米ペイパル(Paypal)も参加しているコンソーシアム(共同企業体)「FIDOアライアンス(FIDO Alliance)」は、例えばウェブサイトでスマートフォンユーザーがタッチスクリーン上に指先を置いて身元確認を行えるようにするオープンソースのシステムを推進している。
FIDOのラメシュ・ケサヌパリ(Ramesh Kesanupalli)副社長は「こうした(生体認証)技術は現在、非常に成熟しており、コスト効率も高く、消費者市場に本格的に投入するための体制が整っている」とAFPに語った。
FIDOの技術は、早ければ今年中には提供できるだろうと同氏は述べている。これは、バイオメトリクスが5年以内にパスワードに取って代わるだろう、とした米IBMのデービッド・ナハムー(David Nahamoo)研究員による2011年の予測を上回るペースだ。
米通信機器大手モトローラ・モビリティ(Motorola Mobility)の研究部門を率いるレジーナ・デューガン(Regina Dugan)氏はさらに先を行き、「パスワード錠剤」を提案している。この錠剤には、胃酸で作動するマイクロチップとバッテリーが組み込まれており、ここから発信される信号が、固有のID信号になる仕組みになっている。
現在のところ、インターネットサービスの多くで、ユーザーに「飼っているイヌの名前は?」などの追加質問に答えさせたり、携帯電話へのSMSメッセージ経由で1回限り使用可能な数字コードを発行したりする、2段階認証が採用されている。
また、ラストパス(Lastpass)、キーパス(KeePass)、ワンパスワード(1Password)、ダッシュレーン(Dashlane)や、米アップル(Apple)から発表されたばかりの「iCloud Keychain」などのオンラインパスワード管理サービスも次々と登場している。
これらのサービスは、個人のパスワードを一か所に集め、安全に保管することを約束している。保管されているパスワードには、1個のマスターパスワードでアクセスできる。だがこのアイデアを、最も確実なパスワード代替機能が現れるまでの「応急措置」と見なす専門家もいる。
代替機能が現れるまでの間は、文字、数字、記号を組み合わせた、できるだけ長い文字数のパスワードにすることと、2か所以上のウェブサイトで同じパスワードを絶対に使用しないことが2大原則になるという点では、多くのセキュリティー専門家らが意見を同じくしている。
ここから先は、祈るしかない。使用しているウェブサイトが、あなたのバーチャル世界への扉を開く鍵を守るために、ウェブサイト側でできることをすべて実行していてくれることを。(c)AFP/Robert MacPherson
