2019年11月9日

通販サイトへのログインから銀行口座へのアクセスまで、パスワードを使った認証システムは私たちの生活に必要不可欠な存在として広く普及しています。

一方パスワードはサービス毎に設定する必要があり、全てのパスワードを暗記することは現実的ではありません。

モニターの付箋にパスワードをメモしたり同じパスワードを使いまわしている方も多いのではないでしょうか。

実際、オンラインアカウントのパスワードは一人当たり平均130個と言われていてこれほどの数を管理するのは容易ではありません。

そこで誕生したのが指紋認証などの新たな認証システムです。

今回はパスワードの管理方法や多様化する認証方法をご紹介していきます。

パスワードはどのように流出するのか

フィッシング詐欺

悪意のある犯罪者がパスワードを盗み出す際に多用されるのがフィッシング詐欺と呼ばれる手法です。

これは実在するホームページとそっくりな偽サイトにユーザーを誘導し、そこで入力されたIDやパスワードを盗み出す手口です。

リスト攻撃

同じアカウントやパスワードを使いまわししている場合、リスト攻撃の標的となる恐れがあります。

リスト攻撃とは先ほどのフィッシング詐欺など、何らかの手段で入手したアカウントとパスワードの組み合わせ使って他のサービスへのログインを試みる方法です。

同じアカウント情報を使いまわしている場合リスクが大きくなります。

スパムアプリ

SNS上では診断・占いアプリやおもしろエピソードなどがリンク付きで紹介されていることがあります。

しかし紹介されたリンクを表示するとアプリ連携の承認ページが表示され、サービスを利用するためには承認する必要があると、認証ボタンを押すように促されます。

この認証を許可してしまうと悪意のある第三者によってSNSが乗っ取られメッセージや投稿が勝手に行われたり位置情報を不正に取得される恐れがあります。

パスワードを強化するポイントは

記号や数字で複雑にする

小文字、大文字、数字、記号、これら全てを含んだパスワードは強固です。

他人が予想しにくくなるだけでなくツールを使用した攻撃にも強くなります。

2段階認証を利用する

一部のサービスでは2段階認証と呼ばれるログイン手順が利用できます。

従来はIDとパスワードのみでログインが管理されていましたが、これにPINコードや指紋認証、秘密の質問などを組み合わせ2ステップで認証することで不正アクセスの防止に役立ちます。

パスワードの他にどんな認証方法があるの？

生体認証

生体認証とは私たち個々が持っている生体的な特徴や癖を利用して認証を行う方法です。

身近なものだとスマートフォンの指紋認証や顔認証があげられますが、他にもいくつか認証方法があります。

虹彩認証：　目の網膜を識別してログインする方法

静脈認証：　指の静脈を読み取りログインする方法

手のひら認証：　手のひらの静脈を読み取ってログインする方法

声紋認証：　声帯を利用してログインする方法

耳介認証：　耳の形を利用してログインする方法

生体認証はパスワードを覚えたり認証カードを持ち歩く手間が省けますが、生体情報を抜き取られたり別人を認証してしまう可能性があります。

ICカード認証

ICタグの入ったカードを利用してログインする方法です。

ICカードを持っていれば誰でも認証できるので他の方法と組み合わせて利用する場合が多いです。

パスワード管理はもう不要？シングル・サインオンとは

先ほどパスワードの使いまわしは危険だとお伝えしました。

しかし大量のパスワードを管理するためにはメモをしたりパスワード管理アプリを使う必要がり、かえって流出してしまう危険性が増加します。

これを打開ために「シングル・サインオン」という認証方法が開発されました。

シングル・サインオンでは１つのアカウントで複数のサービスにアクセスできるようになります。

どのサービスにも同じアカウントでログインができるのでユーザーのストレス軽減に繋がります。

一方で一度流出してしまうと他のサービスにもログインされてしまう可能性がありますが、システムが普段とは違う不審なアクティビティを監視することでリスクが軽減されています。

まとめ

パスワードはどうしても人間の記憶力に依存してしまうため生体認証など新たな認証方法が開発されました。

しかし生体認証は複製・模倣された生体情報で突破されてしまうリスクを抱えています。

現在、両者のデメリットを補う認証方法「FIDO」などの開発が進められていますが完全移行まではパスワードと生体認証を組み合わせた認証方法がしばらく継続されるでしょう。