パスワードは本人確認の基本的な手段だ。しかし、最近ではパスワードではなく「パスキー」や「パスフレーズ」も使われるようになっている。パスワードとは何が違うのか。
安心してデバイスやアプリケーション、Webサービスを利用するために欠かせない「パスワード」。パスワードによって本人であることを証明することで、さまざまなサービスを利用できるようになっているが、パスワードだけが選択肢ではない。
近年ではパスワード以外にも「パスフレーズ」や「パスキー」といった言葉も耳にするようになった。これらは似ているようで、その仕組みや安全性は異なる。それぞれの仕組みや特徴を解説する。
パスワードは、認証のための英数字や記号を組み合わせた比較的短い文字列を指す。パスワードを破られないようにするためには長く、アルファベットの大文字や小文字、記号、数字などを組み合わせて複雑にする必要がある。
それに対して「パスフレーズ」は複数の単語やフレーズ(言い回し)を組み合わせたものだ。パスワードより長くて複雑になるが、ユーザーはパスフレーズの方が覚えやすいと感じることがよくある。
例えば、「Comedy$2024@haha123」は強力だが覚えづらい。一方、「$einfeld!sc0me$yG0ld」(Seinfeld is comedy gold:となりのサインフェルドは最上級コメディーだ)はユーザーにとって意味のある文章となっており、覚えやすい。
「パスキー」はパスワードを不要にする認証方法だ。指紋や顔などの生体情報またはPIN(Personal Identification Number)を利用して本人であることを確認する。パスキーはデスクトップPCやノートPC、スマートフォンなどのクライアントデバイスにしか存在しない。そのためサービス提供元がサイバー攻撃を受けても、ユーザーの認証情報は流出しないため、フィッシング攻撃などに耐性を持つ。
パスワード管理とは、パスワードの作成、保存、管理、アクセスといった全ての領域にベストプラクティスを適用しながら、体系的に実践することだ。そのためのツールとして、パスワードマネジャーを使用するユーザーや企業が増えている。
パスワードマネジャーはさまざまなアカウント用に複雑なパスワードを生成するため、アカウントとそのユーザーのオンラインセキュリティを向上させるのに役立つ。全てのパスワードはパスワードボールト(1つのマスターパスワードで保護される暗号化された場所)に安全に保管される。暗号化することでパスワードの侵害や盗難からの保護が容易になる。
パスワードマネジャーを利用するためのマスターパスワードを設定することでユーザーは使用するWebサイトやアプリケーションごとに個別のパスワードを覚えずに済む。これらのリソースを使うために必要なのはマスターパスワードを覚えることだけだ。
パスワードだろうとパスフレーズだろうと、単一の認証方法ではセキュリティを突破される恐れがある。そこで、複数の認証方式を組み合わせる多要素認証(MFA)によって、より強固なセキュリティ対策が可能になる。多要素認証においては、以下の3要素を組み合わせることが推奨されている。
その他に、1回の取引やセッションについてのみユーザーを認証するために自動生成されるワンタイムパスワード(OTP)を利用する方法もある。近年はソーシャルメディアのアカウントを別のサービスやアプリケーションの認証に利用する「ソーシャルログイン」も広がっている。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
