ID+パスワード認証の危険性
PCやスマートフォンの認証には、圧倒的にID+パスワード(パスコードと呼ぶ場合もあります)が採用されています。これほどまでに広く普及した理由は、コストが安くユーザーが使い慣れているためと考えられています。しかし、ID+パスワード認証は、いくつかの致命的な問題(これを脆弱性と呼びます)をはらんでいます。ここでは、ID+パスワードの具体的な課題を検討します。
認証の3大要素
まず、認証の基本について確認しておきましょう。認証に使われる要素には、大きく分けて以下の3種類があります。
記憶
パスワード認証は、記憶を認証要素とした代表例です。本人だけが記憶している情報は第三者が取り出すことが困難であることから、セキュリティが保たれるという考え方です。
所有
銀行のクレジットカードやICカードなど、所有しているモノを使って認証する方式です。この場合、落としてしまうと第三者に悪用されるため、パスワードなどの他の要素と組み合わせて認証を強化しています。
属性
本人だけがもつ静脈パターンや指紋、光彩などを利用し認証をします。最近の銀行ATMなどでは、①記憶+②所有だけでは犯罪を防ぎきれないことから、指静脈や手のひら静脈を追加する例が増えてきました。
パスワードが抱える本来的な問題とは
記憶は自分しか知りえない情報を鍵とするわけですので、本来、認証要素としては優れています。適切に使用すれば手軽、低コストの運用で、認証強度を保つことができます。
しかし、パスワードを扱うのが人間となると、本質的な問題が発生します。
パスワードが抱える本質的な問題点とは、人間は長く複雑なパスワードは覚えられない。という点と、パスワードの管理がユーザーに委ねられているという点です。これに加えて、パスワードは、ネットワークを経由して相手に渡す必要があるという点も問題となります。
具体的には以下のような問題が発生します。
短いパスワードだと推測・解析される危険性がある。
複数のシステムで同じパスワードを使用すると推測・解析のリスクが高まる。また、突破された場合のリスクが大きい。
長く複雑なパスワードはユーザー自身が覚えられないため、手帳等に記録してしまう可能性が高まる。これが盗難、盗み見(ショルダーハック)などの別のリスクを誘発する。
偽サイト(フィッシングサイト)に誘導され、ID、パスワードを不正に取得される危険性がある。