現在において、パスワードはセキュリティ対策に不可欠な存在です。しかし、パスワードには多くの問題があります。覚えるのが大変なうえ、何個も、時には何百個も覚えなければなりません。さらに、パスワードが盗まれたり、ダークウェブで流出したりすることもあります。これらがパスワードの主な問題点として挙げられます。
複雑で覚えにくいパスワードをたくさん覚えなければならない→単純で覚えやすいパスワードにする→単純なパスワードはブルートフォース攻撃で簡単に解読されてしまう…
これらの要因から、パスワードの使いまわしや、認証情報を全て管理するために危険な保管方法に依存している可能性があります。
実際、パスワードはオンライン・セキュリティの最大の脅威となっています。パスワードの複雑化により、パスワードは使い回されるようになり、ハッカーはパスワードを盗むことにますます長けてきています。パスワードの安全な未来のために、何か手を打たなければならないのです。
さらに、企業はクラウドやオンラインサービスを以前よりもさらに利用するようになり、従業員はより多くのソフトウェアのエコシステムでログイン情報を共有する必要がありますが、そのようなソフトウェアはすべてサイバー攻撃に対して脆弱です。
このような状況にもかかわらず、ユーザーネームはメールアドレスだけであることが多く、つまりハッカーは同じユーザーネーム(メールアドレス)が多数のサイトで使われていることから、パスワードさえ見つければいいということになります。では、パスワードの未来はどうなるのでしょうか?専門家によって意見が異なるので、誰が正しいとは言い切れません。ただ、本記事で紹介するソリューションの一部または全部と、技術的な発展を組み合わせたものになるのではないかと考えています。
より安全性を高めるために、パスワードはますます覚えにくくなっています。みなさんがビジネスの成功に集中できるように、パスワードの安全な記憶は TeamPassword にお任せください!
14日間の無料トライアルにサインアップして、チームメンバーとTeamPassword ぜひお試しください。
パスワードのメリットとデメリット
パスワードはもはや無用の長物なのか、それともまだ救いの余地があるのか。他のセキュリティソリューションと同様、パスワードにはメリットもデメリットもあります。
メリット
パスワードは、ソフトウェアを使って簡単に導入・設定できます。また、2FA(二要素認証)や生体認証、あるいは後述するその他の高度なシステムとは違って、運用コストも非常に安く、実際にかかるコストは導入にかかる費用だけです。ハードウェアやソフトウェアを長期間にわたって維持する必要はありません。
また、他のソリューションでは常にできるというわけではない、パスワードの削除や修正が簡単に行えるのも特徴です。
デメリット
簡潔に言えば、パスワードの概念全体に欠陥があります。覚えやすいものはすぐにハッキングされてしまうのでセキュリティ機能とは言えませんし、逆に、ハッカーを寄せ付けないほど強力なパスワードは覚えにくいですよね。
ただ、そのような強度のパスワードを複数覚えておくことはほぼ不可能であり、それが使い回しにつながります。そうなると、個々のサイトがハッキングされる可能性があるため、多くのサイトで同じパスワードが使われると、非常に脆弱な状態になります。例えば銀行や会社には、おそらく素晴らしいセキュリティ・システムがあると思いますが、同じ認証情報が不特定多数のチャットボードに使われると、銀行や雇用主のセキュリティレベルが、あなたがよく利用する最もセキュリティの低いサイトと同等に下がってしまうことになるのです。
パスワードの未来
そもそも、パスワードとは何でしょう?サイトごとに意味が異なりますし、将来は「パスワード」の定義さえも複雑になりそうです。
2FA (二要素認証)を採用するサイトもあれば、パスワードレスシステムを採用するサイトもあるはずです。生体認証に対応するデバイスもあれば、パスフレーズに対応するデバイスもあり、SSO(シングルサインオン)を好むユーザーもいれば、実績のあるセキュリティと利便性の高いパスワードマネージャーを使うユーザーもいるでしょう
以下では、パスワードの未来として見られる多くの進歩の中から、ほんの一部をご紹介します:
- 2FA(二要素認証)
- パスフレーズ(フレーズを基にして生成したパスワード)
- SSO(シングルサインオン)
- パスワードレス
- ゼロログイン
- パスワードマネージャー
恐喝メール、クレデンシャルスタッフィング、その他のパスワードの脆弱性の被害に遭わないようにしましょう。みなさんがビジネスの成功に集中できるように、セキュリティは TeamPassword にお任せください。
14日間の無料トライアルにサインアップして、ぜひ今日からチームメンバーとTeamPassword をお試しください。
2FA(二要素認証)
2FA(二要素認証)とは、その名の通り、ユーザー名とパスワードによる認証を1回で済ませるのではなく、さらなる認証情報を入力する2回目の認証を行うことです。
2FAの最も一般的なシステムは、電話番号へのSMSメッセージです。ユーザー名とパスワードを入力すると、2回目の認証ステップで入力するための、 通常6桁の数字コードであるOTP(ワンタイムパスワード)がシステムからSMSで送られてきます。
本人であることを証明するための質問と回答を提供する旧バージョンの2FAはソーシャル・エンジニアリングに弱いため、上記の2FAにほぼ取って代わられました。つまり、悪意あるハッカーなどサイバー犯罪者は、あなたの最初のペットの名前、幼少期の親友、懐かしの通りの名前を把握し、この第2段階の認証を通過することができる可能性があるということです。
SMSコードによる 2FA で、ブルートフォース攻撃や辞書攻撃のリスクを軽減できていましたが、SMSのステップを突破する新たな攻撃が生まれました。実際、ハッカーは、電話番号を所有者の許可なく別のSIMカードに移植し、このような 2FA コードを採取する方法を発見しました。
そのため、安全な 2FA の OTP は認証アプリに送られるようになり、その代表的なものに Microsoftの Authenticator というアプリがあります。
パスフレーズ
パスフレーズとは、要するに長いパスワードをたくさん並べたものです。例えば、「dog」というパスワードの代わりに、「I walk my dog Sparky」というフレーズを選び、スペースなしで「iwalkmydogsparky」と書くことができます。パスフレーズの長さは、基本パスワードよりも安全でありながら、覚えにくいということはありません。
パスワードの未来において、パスフレーズに対応するためにパスワードの長さを伸ばすのは、セキュリティ向上のための非常に簡単で低コストなステップとなりますが、残念ながら多くのサイトでは、まだパスワードの長さは12文字に制限されているのが現状です。
パスフレーズも通常のパスワードと同様に、文字の大文字小文字を変えたり、数字や文字を追加したりすることで適応させることができます。例えば、「iwalkmydogsparky」は「1.w4lk-My_d0g=Sp4rKy」に変更できます。パスフレーズは、非常に長く、推測が難しいにもかかわらず、ランダムな文字、数字、および文字のセットと比較して、大体は非常に覚えやすいという利点があります。
SSO(シングルサインオン)
SSO(シングルサインオン)システムは、ユーザーが1回の認証情報を使って、多くの別々のサービスを利用できるようにするものであり、これは全サービスに信頼関係がある事によって実現します。また、ある安全なサイトから別のサイトへ移動する際、SSOシステムは裏でトークンを渡し、サイトに入る許可があることを確認します。
パスワードレス
パスワードは、デジタルセキュリティ全体から最大の負債へと変わってしまったため、「パスワードの未来はパスワードが全くない状態であるべきだ」だと主張する人も多くいます。そこでパスワードレス革命の最前線にいるのは、生体認証であり、スマートフォンなどの携帯端末では、指紋認証や顔認証がますます利用されるようになっています。
パスワードレスのソリューションは、将来のログイン・エコシステムの一部となる可能性が高く、SSOや 2FA を使う場合でも、生体認証はパスワードの未来の一部となる可能性が高いです。
ゼロログイン
企業によっては、ログインを完全になくすところもあるかもしれません。銀行では、新しい IP からログインしようとすると、実際に電話がかかってくるかもしれませんし、Amazon では現在、タイピング速度や筆圧を測定して、サイトを利用する際に常に本人確認をするシステムをテストしています。
このようなシステムでは、行動学的な手段で常に身元を確認し、入力や検索などの方法に異常があるとシステムが検出した場合にのみ、パスワードを尋ねることを目的としています。その場合、パスワードを要求されるのはハッカーだけとなるでしょう。
パスワードマネージャー
パスワードの未来は、多様なものになるであろうが、パスワードが完全になくなることはないでしょう。
複雑なパスワードと、サイトごとの新しいパスワード設定が、セキュリティにとって最も重要なことであり、今のところは、パスワードの使いにくさを解消してくれる、安全で使い勝手のよいパスワードマネージャーがベストなソリューションと言えます。
ITインフラを保護する最善策は、共有機能を含むパスワードマネージャーの使用であり、TeamPassword のようなパスワードマネージャーだと、特定の人だけがパスワードを利用することができるように、高レベルの暗号化や 2FA が提供されます。
また、共有パスワードのリストにアクセスする前に、個人パスワードと短期認証コードを使ってプラットフォームにログインしなければなりません。
チームでは、Wi-Fi を含む相互のアカウントにアクセスするために、パスワードの共有が必要なことがよくありますが、そのためにデータを危険にさらす必要はありません。TeamPassword を使えば、チーム内での Wi-Fi パスワードの安全な生成、保存、共有すべてが実現できます。
何から始めればいいかわからない方は、TeamPassword の無料トライアルにサインアップして、共有パスワードの安全性をまずは確保しましょう。
