パスワードによる認証の限界！？

今さらという感もありますが、パスワード「のみ」による認証の限界について、専門家が警鐘を鳴らしています。

・「パスワードのみのユーザー認証は危険」--専門家が警告(CNET Japan)

　洗練された攻撃が増加し、サイバー犯罪グループの手口がより巧妙化してきたことに対抗するため、企業はパスワードを長くしたり、その変更を頻繁に行うようになっている。GartnerのリサーチバイスプレジデントJay Heiserは「こういった考え方は間違っている。そんなことをすれば、ユーザーはパスワードを忘れてしまうか、書き留めるようになるので、別の意味でセキュリティが弱くなってしまう」と説明する。

認証の信頼性の高さを、パスワードの文字列の長さのみに依存させるのは、もはや危険だということは明白ですね。認証方式は、大きく分けて以下の３つに大別できます。

・ID/PWなどユーザーの「知識」を利用したもの
・USBトークンやスマートカードなどユーザーの「持ち物」を利用したもの
・バイオメトリクスなどユーザーの「身体的特徴」を利用したもの

上記記事で問題となっているのは、現在、広く行われている「一つの要素のみを用いる」認証です。そこで、上記３要素のうち複数の方式を組み合わせて認証する「2ファクタ認証」は、セキュリティを高める一つの解決法になりえるでしょう。例えば、セキュリティトークンを利用するためにパスワードを入力させたり、スマートカードと虹彩認識を併用するといった方法です。

また、パスワードによる認証でも「ワンタイムパスワード」のように、同じパスワードが二度と使えない仕組みもあります。

上記記事で興味深かった記述は、「欧州の企業は、こういった解決策の導入によるコストの増加を受け入れる傾向にあるが、米国の企業は（複雑な手続きで）ユーザーの負担を増加させたくないため、および腰となっている」という部分です。

導入コストと利用者の利便性の確保。セキュリティを高める際に避けて通れない問題です。エンドユーザー向けにサービスを提供する企業は、利便性を損なわず、セキュリティを高める仕組みを導入することが、今後ますます求められてくるでしょう。

＜参考＞
・ワンタイムパスワードとは(IT用語辞典)

・2ファクタ認証とは(IT用語辞典)