人が記憶できるID/パスワードの数には限界がある。一方で、便利なWebサービスは次から次へと登場。こうした中、ID/パスワードを軸としたセキュリティは崩壊の危機に直面している。効果的な対策はあるのか?
企業や個人を問わず、さまざまなサービスがWebサイトを通じて提供されているが、その多くはいまだにID/パスワード型の認証方式を採用している。何年も前から、ID/パスワード認証の危険性が話題になっているにもかかわらず、である。
厳格なID/パスワード管理を行えば、確かに一定のセキュリティレベルを保つことはできる。だが、その厳格さをどれほどのユーザーが守れているだろうか。
このことは、一般的な個人向けのWebサービスに限らず、企業が従業員に提供しているWebサービスにとっても大きな課題だ。特に問題なのは、管理者が期待するほど、従業員はパスワード管理の重要性を理解していないということである。
“メモしなければ大丈夫”と考えているユーザーも多いようだが、もちろんそれは誤りだ。記憶に頼って安易なパスワードを流用していると、容易に破られて「パスワードリスト攻撃」を仕掛けられ、情報漏えいや金銭詐取といった被害を受けることになる。
“ID/パスワード神話”は既に崩壊している。では、どうすれば安心、安全なWebサイトの利用環境を構築できるのだろうか? 調査から浮き彫りになったID/パスワード認証の現状とパスワードリスト攻撃の脅威、そして具体的な対策を紹介しよう。
提供:合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)
アイティメディア営業企画/制作:TechTarget編集部