石川 竜雄
パスワードを使う認証のリスク
会員制のサービスにログインするとき、主にパスワードを入力してログインしていることが多いと思います。ですが、この方法はさまざまなリスクを抱えており、いくつものセキュリティ事故・事件が発生しているのが現実です。
パスワード認証で考えられるリスクとしては、次のものがあります。
● パスワードを忘れてしまってログインできなくなる
会員登録しているサービスが多くなり、パスワードが管理できなくなってしまったり、自動ログイン設定にするなどして長期にわたりパスワードを使用しなかった結果、パスワードを忘れてしまうケースがあります。
このような場合、「パスワードを忘れた場合はこちら」というリンクからパスワードの再発行がスムーズにできればいいのですが、登録しているメールアドレスさえもわからなかったり、もう使っていないメールアドレスだった場合、それすらもできなくなります。
● 安易なパスワードを設定してしまい、パスワードを突破されて不正アクセスされる
パスワードを忘れてしまうのを避けるため、「password」や「123456」など、誰でも思い浮かぶようなパスワードを設定した結果、不正アクセスの被害にあってしまうケースがあります。
● 複数のサービスで同じパスワードを流用していたため、流出したパスワードで他のサービスまで乗っ取られてしまう
パスワードを管理しやすくするため、複数のサービスで同じパスワードを使用しているケースが存在します。パスワードは、入力されたパスワードと一致するかどうか判断するために、サービス側のデータベースにも保管されているため、万が一そのデータベースがサイバー攻撃などにあってしまった場合、パスワードが漏えいすることになります。もし攻撃者が不正に入手したパスワードを使って、他のサービスにもログインしてしまった場合、そのサービスのアカウントが乗っ取られてしまうことになりかねません。
不正アクセスへの対策として、「定期的なパスワード変更」や「複雑なパスワードの設定」がいわれることがありますが、それによってパスワードを忘れてしまい、ログインできなくなる可能性も否めません。
パスワードを使わない認証方法
前述のように、パスワード認証にはいくつかのリスクがあることがわかります。そのため近年では、「パスワードを使わない認証」の考え方が出てきました。この認証方法を「パスワードレス認証」と呼んでいます。
身近にあるパスワードレス認証の事例
パスワードレス認証は、既に身近なところで取り扱われています。
● スマートフォンのロック解除
スマートフォンの待ち受け画面に設定したロックを解除する際に、顔認証や指紋認証が使われています。これによって、ロック解除に対する手間を減らすとともに、パスワードを入力する操作を他人に見られるというリスクの軽減が図られています。
● ロックがかけられているエリアに入るために入館証によるロック解除
オフィスに入るために、入館証をかざすカード認証や、顔をカメラに映す顔認証などを利用する企業があります。これは、その企業に関係を持たない部外者が侵入することを防ぐことを目的としています。
● SMSに送信された認証コードの入力による認証
Web上のサービスにログインする時に、スマートフォンに対して認証コードが送られてくることはありませんか?送られてきた認証コードをWebサイト上で入力してログインする方法です。これも、パスワードレス認証の1つで、ショートメッセージで認証コードが送られてくることから、SMS認証とも呼ばれています。
パスワードレス認証の種類
前述の通り、パスワードレス認証にはいくつかの方法があることがわかります。
では、どのような種類があるのか見ていきましょう。
パスワードレス認証は大きく分けて、次の3種類に分類することができます。
● 生体認証
顔や指紋、静脈など、身体が持つ個人を特定できる情報を認証に使用する方法です。
スマートフォンやタブレットなどの認証でよく使われています。
生体認証は、機器に組み込まれた認証装置や、別途接続したセンサーから身体の情報を入力して、本人かどうか判断しています。
こういった情報は、各自の身体に備わっているものであるため、パスワードのように「忘れる」ことはなく、指紋や静脈に関しては複製することも難しいと言われています。
生体認証の詳細についてはこちらで解説しております。
https://zerokara.dds.co.jp/biometrics/whats-biometrics/
● 所持認証
個人が「所有するもの」を認証に使用する方法です。
前述のSMS認証や入館証によるゲートや扉の開錠などが一般的です。
他にも、USBデバイスなどハードウェアを利用した認証もこちらに分類されます。
所持認証については、手元にある情報やハードウェアを使用して認証するため、記憶に留めておく必要はありません。
● マジックリンク
ユーザーのメールアドレス宛に専用のURLを送信して、ユーザーは受信したメールに記載されているURLにアクセスすることによって認証を行う方法です。
該当のユーザーだけしか知らないURLにアクセスすることによって、パスワードの入力は不要となります。
また、該当のURLは「1回限り有効」や「30分間のみ有効」といった感じで制限が設けられていることが多く、悪用しづらくなっています。
● FIDO認証
FIDO認証は、パスワードを使わずにオンラインサービスのID認証を安全で簡単に行うことができる新しい認証規格です。
非営利団体FIDOアライアンスがグローバルで標準化と普及を進めています。
FIDO認証の詳細については、こちらで解説しております。
https://zerokara.dds.co.jp/fido/fido_001/
パスワードレスのメリット
パスワードレスには次のようなメリットがあります。
● パスワード管理からの解放
認証にパスワードを使用しないため、パスワードを記憶しておく必要がなくなります。
そのため、パスワードを忘れてしまったことによって、ログインができなくなるというリスクも回避できるようになります。
● セキュリティの向上
パスワードを使用しないことによって、パスワードが流出するリスクがなくなります。
また、パスワードを突破するための攻撃を未然に防いだり、あるいは極めて困難にすることが可能となります。
● 利便性の向上
昨今、会員制のサービスが次々と生まれています。
そうなると、サービスを利用するため、必然的にログインをする機会が多くなりますが、そのたびにパスワードを入力するのは手間がかかってしまいます。
ですが、パスワードレスにすることでパスワード入力から解放されるため、利便性の向上が見込めることになります。
パスワードレスのデメリット
パスワードレスにはさまざまなメリットがある反面、次のようなデメリットが存在します。
● センサーやカードなどの導入によるコスト
パスワードレス認証をするには、通常のパスワード認証と比べて、コストが高くなるケースが多いです。
例えば、
・指紋認証なら指紋を読み取るセンサー
・入館証などのカードでの認証の場合は、カードを読み取るセンサーやカード
といったように、専用の装置を導入する必要が出てきます。
そうなると、この装置や読み取ったデータを扱うためのソフトウェアに対してもコストが発生することになります。
● センサーやカードなどの故障・紛失・盗難によるリスク
コスト面の問題が解決できても、装置が故障してしまった場合は使用することができなくなります。
すなわち、認証ができなくなることになるわけです。
また、入館証などのカードを紛失した場合は、もちろん認証できなくなり、万が一、盗難にあってしまった場合、他人にそのカードを使用されて認証されてしまうというリスクが発生することになります。
そのため、機器のきちんとしたメンテナンスや、カード類の厳密な管理が必要となります。
同様に、スマートフォンについても、認証装置として使われている状況になるので、待ち受け画面のロックや、紛失・盗難を防止するために対策を図るなど、今まで以上に気を付けなければいけません。
● 不具合や外的要因によるリスク
装置やカードが故障・紛失しなくても、ソフトウェアのアップデートによって不具合や障害が発生した場合、それが原因で認証できなくなる可能性も存在しています。
また、生体認証においても、顔認証の場合はメガネやマスクの有無、明るさの違いなどで認証しづらくなくなったり、指紋認証についても指の傷や乾燥などによって認証がしづらくなるケースが発生する可能性があります。
まとめ
パスワードを使うリスクとパスワードレス認証のメリット・デメリットをご紹介しました。あらためて振り返りますと、パスワードレス認証を利用するシーンは増えてきているのではないでしょうか。メリットだけでなくデメリットも知ることで、正しく理解し利用いただければと考えます。
