JP
パスワード認証は万全なセキュリティ対策ではない
「パスワード」といえば、セキュリティ対策の代表的な存在です。悪意のある第三者が、誰かのアカウントに忍び込もうとしても、パスワードは基本的にはユーザー自身しか知りえないため、入力した文字列が偶然一致しない限り、不正にログインされることはありません。
しかし、パスワードは万全なセキュリティ対策ではありません。たとえば文字の桁数が少なく、単純で推測しやすいパスワードは、考えられるすべてのパスワードの組み合わせを試す「ブルートフォース攻撃(総当たり攻撃)」によって、不正ログインされてしまうことがあります。
このほかにも、フィッシングサイトでパスワードを入力してしまった場合や、使用している端末がマルウェアに感染した場合、パスワードを登録したWebサイトがハッキングされた場合も、パスワードが悪意のある第三者の手に渡る恐れがあります。
もし同じパスワードをさまざまなサイトで使い回している場合、複数のサイトで不正ログインが可能となり、被害はさらに拡大する恐れがあります。IPA(独立行政法人 情報処理推進機構)の資料「2022年度情報セキュリティに対する意識調査」によると、パスワードを使いまわす人の割合は4~5割も存在するといいます。
IPAではパスワードの正しいセキュリティ対策として「できるだけ長く」「複雑で」「使い回さない」ことを推奨しています(IPA「不正ログイン対策特集ページ」より)。
なぜパスキーはフィッシングが発生しにくいのか
このようにパスワードは、一度流出してしまうと不正ログインの危険性が高まりますが、最近はそもそもパスワードを使用せずに認証を行う「パスワードレス認証」も登場しています。パスワードレス認証は、IDやパスワードを使用せず、その他の要素で認証することを指します。
パスワードレス認証で、最近特に導入例が多いのが「パスキー(Passkeys)」です。パスキーはNTTドコモの「dアカウント」や、フリマアプリの「メルカリ」、Microsoft、ソニーのゲームのオンラインサービス「PlayStation Network」、Googleアカウントの認証にも採用されています。
パスキーは「FIDO Alliance」(ファイド・アライアンス)という業界団体が定めた、パスワードレス認証の規格で、指紋認証や顔認証のような「生体認証」、4ケタの数字を入力する「PINコード認証」、特定の順番をなぞる「パターン認証」に対応しています。
パスキーの特徴として、公開鍵と秘密鍵という、2つの鍵を用いて認証を行う「公開鍵暗号」方式を採用している点があります。Webサービスのサーバーに公開鍵、ユーザー自身が持つデバイスに秘密鍵を登録し、デバイス側の生体認証が成功すると、公開鍵と秘密鍵が認証を行い、ログインを行います。
公開鍵暗号方式は、Webサービスのサーバー側に、パスワードなどの認証情報を入力する必要がないため、フィッシングサイトに誤ってパスワードを入力するような恐れが軽減できます。加えて、パスワード入力の手間も省けるため、ログインも簡単にできます。
(内閣府「これまでの認証とFIDOの違い」PDFより引用)
パスワードレス認証は、
認証用の端末とセットで考える
こうしたパスワードレス認証ではそもそもパスワードを使用しないため、パスワードが流出し悪用される恐れもなく、パスワードのセキュリティレベルを高めるために、定期的に変更する必要もありません。特に生体認証を使用すれば、たとえ認証に使用する自身のデバイスが盗難されたとしても、指紋認証や顔認証によって不正ログインされる恐れも低いです。
一方で、ログインをする際には常に認証用のデバイスが必要になるため、端末を紛失した場合の認証は困難です。加えて、デバイスに搭載されている、認証時に使用する指紋センサーやカメラ機能が壊れた場合も、認証はできなくなります。基本的には認証用の端末とセットで使用するものと考えておくべきでしょう。
「認証=パスワード」は、これまでのWebの世界では常識でしたが、パスワードを使用しなくても認証できる時代がついに到来しました。パスキーはさまざまなサービスに導入されているため、未導入の方は、パスワードの無い世界を一度体験してみてはいかがでしょうか。
