皆さんは、8文字以上の大文字と小文字、数字、記号を組み合わせたパスワードを幾つ覚えられるだろうか。複雑で強固なパスワードであればあるほど、覚えられる数は減ってしまうだろう。
ID/パスワード認証は、情報システムの認証手段として古くから幅広く利用されてきた。クラウドサービスやモバイルデバイスの普及でITがより身近な存在となる中、エンドユーザーが覚えなければならないパスワードの数は膨大になっている。教育関係者や学習者を含め、一般の人が数十〜数百種類のWebサイトやWebアプリケーションなどのサービスを利用することが、珍しくなくなったからだ。
サービスごとに個別かつ複雑なパスワードを設定すればよいのだが、それが非常に難しい。最初は覚えていても、利用するサービスが増えて覚えるべきパスワードが増えるほど、覚えておくのがより大変になる。それぞれのパスワードを複雑にすると管理が難しくなるために、覚えやすさから安易なパスワードを設定してしまうエンドユーザーは少なくない。
特定のサービスに複雑なパスワードを設定したとしても、さまざまなサービスでそのパスワードを使い回してしまえば、どこかのサービスからそれが漏えいしてしまった場合に認証が破られてしまう。ソーシャルネットワーキングサービス(SNS)や情報サイトなど全てのサービスに複雑なパスワードを設定し、それを覚えておくには、“超能力”に近い特殊能力が必要になってくる。
「パスワードの定期更新」という運用も、パスワード管理の難しさに拍車を掛ける。定期的にパスワードを更新すれば、第三者がID/パスワードを窃取した場合にも認証を破られる可能性が低くなる、という考え方に基づく運用だ。本来はセキュリティ対策の効果を高めるための運用なのだが、更新のたびに新たなパスワードが生まれることから、管理しなければならないパスワードをさらに増やす状況を生んでしまっている。
ID/パスワードの漏えいが発生したり、その懸念があったりした場合には、当然ながら必ずパスワードを変更しなければならない。仮に漏えいしていても、パスワードを変更して漏えいしたパスワードを無効化すれば、不正ログインといった実害を防ぐことができるからだ。ただし定期更新は、前述の弊害があることに加え、効果についてはセキュリティの専門家の間でも意見が分かれており、その是非を判断するのは非常に難しい。
エンドユーザーにパスワードの管理方法を自己責任として放置していることが、パスワード管理の問題をますます深くしていると考えられる。パスワードの管理をエンドユーザーの自己責任にするのは、限界に達していると言っていいだろう。こうした状況に対処するための手段として、ID/パスワード認証の代替策の採用がある。主なものを以下に示す。
2022年の「値上げ」に対する消費者の意識と行動――日本インフォメーション調査
消費者はどのような商品・サービスに値上げを実感し、どう対策しようとしているのでしょ...
TikTokのとてつもない稼ぎ力 急成長の秘密は?
TikTokの広告収入はTwitterとSnapchatのそれを足し合わせても追い付かず、近い将来はYouT...
SDGsの認知率は8割超に――電通調査
ビジネス層を中心に語られるバズワードであった「SDGs」が、4年間で一般層まで認知を広げ...