パスワードは昔から存在するが万能ではない

　さまざまなサービスを利用するとき、私たちは仕事や生活に密着したあらゆる場面で、IDとパスワードの組み合わせを要求される。

　身近な例では銀行ATMだ。銀行ATMでは、磁気カードが本人ID（ログイン名あるいはID）となり、4桁の暗証番号がパスワードとして機能する認証方法を採用している。このモデルは昭和40年代から一般に普及しており、すでに40年以上の歴史がある。

　この「パスワード」方式は、査証の信頼性、有効性について古くから議論されている。現在でも、電話で暗証番号を他人に教えてしまったり、誕生日を暗証番号にしている例が後を絶たない。

　この問題に対して、多くの金融機関や企業ではパスワードの定期変更を推奨することが多いが、専門家からはその効果や有効性、弊害が指摘されている。そもそもパスワードを定期的に変更しても、数時間、数日で終了できる総当たり攻撃に対しては意味はない、システムや管理者に強いる負担に見合わない、といった指摘だ。

　では、こうしたパスワード管理の問題には、いかなる対処方法があるのだろうか。これは難しい問題で、筆者はこれといった決定打、解は存在しないと考える。重要なのは、パスワード方式を含めたさまざまな認証方式を理解し、必要に応じて適切な認証方法を選ぶことだ。以下にセキュリティ対策や手法が有効な場面や弱点などを整理したので、社内システムや新規Webサービス開発の認証設計の際などに参考にしてほしい。

各認証方式の違いや特徴を把握することが重要

1. パスワード/パスフレーズ
　パスワードは古くから「合言葉」として使われた手法である。現在では、辞書攻撃、総当たり攻撃の性能が上がっているため、パスワード方式認証の限界まで叫ばれている。また、近年はパスワード認証に依存するシステムが多すぎて同一（または類似）パスワードの使いまわしが問題になっている。

　しかし、有史以来廃れないこの手法は、管理コスト、利便性、信頼性のバランスにおいて今だ有効な手法のひとつでもある。この傾向は当面変わらないが、サービスや守るべき情報によっては、ID/パスワードによる認証では不十分であるとの認識を持ってほしい。

2. 生体認証
　これも古くからある手法で、現在は指紋認証、静脈認証などが一般化している。パスワードのように覚える手間がなく、本人性の確認においては高い信頼性を期待できる。反面、センサーの精度、基準となるデータの取集・管理などにコストがかかるといった問題がある。

　簡易的な生体認証システム（スマホの指紋認証など）も普及しているが、これらは精度に問題があり、信頼性に難がある。また、基準となる生体情報は一般に変更が不可能であり、ハッキングされた場合に認証そのものを無効とするしかない。結局、パスワードなどとの併用が避けられない。なお、生体認証には、顔認識、声紋認識、筆跡/筆圧/その他行動分析、などの技術もある。

【次ページ】家計簿アプリ、オンライン銀行との連携で使われる認証とは？