No260 パスワードと上手につきあう方法

前回まではサービスごとに違ったパスワードの作り方について解説をしてきました。今回は前回までに書けなかったいくつかのトピックを紹介します。・多要素認証（二要素認証）・バイオメトリック認証・パスワードは忘れたっていい

1. 銀行の暗証番号はなぜ改善されないのか？

前回までに複雑でバレにくいパスワードの作り方について解説をしてきました。ですが、少々不思議に感じることがあります。現在でこそパスワードは日常的ですが、インターネットのサービスが普及するまではせいぜい銀行でお金を引き出す時の暗証番号くらいのものでした。キャッシュカードの暗証番号というのは数字4ケタで、たかだか1万通りしかですが、このケタ数を増やそうという気運は全く見られません。どうして、こんな単純な方式で問題にならないのでしょうか？暗証番号は意外に堅牢な方式なのです。銀行でお金を引き出す時には、暗証番号だけではなくキャッシュカードが必要です。キャッシュカードという「物」と暗証番号という「情報」の二つが必要なのです。これは、通帳で引き出しをする時も同様です。通帳だけでなく印鑑が必要です。つまり、銀行ではお金を引き出す時に二種類の「物」や「情報」を求め、それによってセキュリティ（安全）を確保しているのです。

2. 多要素認証という考え方

パスワードでも同様の取り組みが拡がってきています。「二要素認証」や「多要素認証」と呼ばれる方式がそれです。ログインをする時に、IDとパスワードだけでなく、「おまけの情報」を要求し、それを正しく入力できた場合のみログインを認めるというパターンです。このような方法はいくつかあります。典型的には、ユーザ登録時の電話番号にショートメッセージ(SMS)を送るものです。ショートメッセージとして送られてきた、６文字程度のコードをあたかも二つ目のパスワードのように入力します。ですが、この６文字のコードが何の役に立つというのでしょう？これは銀行のキャッシュカード＋暗証番号と同様の考え方で、パスワード＋登録した電話を保有している、という２点で安全を確保しようという考え方です。つまり、ショートメッセージを受け取ることができる人＝ユーザ登録時の電話番号を持っている人のはずです。コードが入力できる人＝実際に電話を持っている人＝正規のユーザだ、ということです。最近は、多要素認証ができるサービスが増えています。確かにIDとパスワードの他に入力するものが増えるわけですから面倒なのは間違いありません。実際、多要素認証が使えるサービスでも多要素認証はオプション扱いです。それだけ、入力項目が増えるのがイヤだという人が多いのでしょう。それでも、安全確保のためには多要素認証のオプションを有効にされることを強くオススメします。なお、多要素認証は上記のショートメッセージ以外の方式もあります。以前は使い捨てパスワードを生成する専用機器や乱数表を正規ユーザに送付する方法がよく使われていました。最近では、上記のショートメッセージを送付する方法の他にも、Google AuthenticatorやMicrosoft Authenticatorといったアプリを利用した方式などがあります。

3. バイオメトリクス（生体）認証は究極の認証方式か？

様々な認証方式がある中で、指紋認証や虹彩認証（瞳の模様）といった体の情報を活用したバイオメトリクス（生体）認証という方式があります。最近はかなり高い精度で本人認証ができます。パスワードに比べれば認証の手順がわかりやすいため、全てをバイオメトリクス認証にすればいいじゃない？と思われる方も多いだろうと思います。ですが、実際にはバイオマトリクス認証は入室制限をしたい部屋への入室規制くらいしか使われていません。（個人用機器のスマホやパソコンでは指紋認証が使えるものは多いですが）これには理由があります。バイオメトリクスは変化することがあるためです。例えば、風呂から出た直後は指紋認証が通らないケースが増えます。ケガをすれば指紋が変わるし、目の病気によって虹彩が読めなくなる場合もあります。もっと極端な例っでは、事故で手を失った人は認証ができなくなってしまいます。スマホで日常的に指紋認証を使うのはＯＫとしても、バイオメトリクス認証が使えない場合のためにパスワードでも認証できる仕組みとなっているのは、そのためです。

4. パスワードなんか忘れたっていいじゃない

パスワードの話題の最後はちょっと過激な問いかけです。「パスワードなんか忘れたっていいじゃない」と筆者は思うのです。多くの方が現実に同じパスワードを使い回しています。どうして使い回しを行うのでしょうか？「そりゃ、忘れたら困るからでしょ？」ホントですか？ホントにパスワードって覚えておかないといけないものですか？かなり古い（おそらく2000年代初頭）話になりますが、筆者はパスワードを忘れて、かなり困ったことがあります。当時、パスワードの再設定はインターネットでの受け付けておらず、コールセンターへの電話が必要でした。コールセンターでは、パスワードを忘れた旨を伝えると、本人確認を行った上で、登録住所にパスワード設定手続きの書面を郵送するから、それに従って再設定してくれ、という話になりました。当然、郵送されてくるまでには数日かかりますから、その間サービスは利用できませんでした。再利用できるようになった時は「やれやれ」という感想しかありませんでした。こんな経験があると「パスワードは何がなんでも忘れちゃダメ！」となるのも無理はありません。ですが、現在は大きく状況が違っています。パスワードを忘れたって、多くのサービスでは「パスワードを忘れた場合は？」といったリンクがありますから、５分もかけずにパスワードが再設定できます。パスワードを忘れたって、たかだか５分程度をロスするだけです。であれば「パスワードなんか忘れたっていい」のではないでしょうか？その５分を節約するために、パスワードを使い回して、結果多くのサービスに不正ログインされたとすれば、その後始末の方がずっと時間がかかります。これでは本末転倒です。そんなリスクを抱えてまで一つのパスワードにこだわるより、「忘れてもいいや」と考える方がずっと健全です。もうパスワードなんて使い回す時代ではないのです。

5. 新たなサービスにはテキトーなパスワード

実際、筆者は継続利用するかどうかわからないサービスに申し込む場合はその場で思いついたテキトーなパスワードで登録することがあります。もちろん、翌日にはそんなパスワードなどキレイサッパリ忘れています。でも使い続けるかわからないサービスなのですから、それでいいのです。後になって「使い続けよう」と思ったらそこでパスワードを再設定するだけの話です。もし使わずに放置してしまっても、本人すら忘れているパスワードですから、他のサービスと同じになる確率などほとんどゼロです。これは、努力せずにパスワードの使い回しを防ぐ方法としてオススメできます。

6. まとめ

金銭や機微な個人情報を扱うサービスを中心に、多要素認証（二要素認証）という方式が一般化しつつあります。これは、パスワードという「情報」に加えて電話などの「物」を保有していることを確認することで、本人確認を行う方式です。多要素認証を認めているサービスがあれば、積極的に利用されることを強くオススメします。筆者は最近「パスワードを忘れても問題ないのではないか」と考えるようになりました。最近はパスワードを忘れても簡単に再設定できるサービスが普通です。パスワードをがんばって覚えておかなくても何とでもなるのです。登録時はその場の思い付きのパスワードを使い、次回利用時にはパスワードを再設定すれば良いのですから。表現としてはちょっと過激ですが、「パスワードなんか忘れたっていいじゃない」と筆者は思うのです。長く続いたパスワードのお話ですが、今回でおわりです。次回もお楽しみに。（本稿は 2022年5月に作成しました）本Noteはメルマガ「がんばりすぎないセキュリティ」からの転載です。当所はセミナーなどを通して皆さんが楽しく笑顔でITを利用いただくために、難しいセキュリティ技術をやさしく語ります。公式サイトは https://www.egao-it.com/ です。