以前、パスワードにASCII以外の文字を使わせたらどうか、
ワンタイムパスワードだけにしたらどうかという記事を書きました。
今でもパスワードとして多く見るパターンは
英大文字・英小文字・数字・記号を最低1文字ずつつ含んだ
~文字以上の文字列を求めるといったものです。
誕生日や名前などを使わず
類推されにくいものということになれば
ランダムな文字列ということになりますが、
そもそもランダムな文字列は覚えられないものですし、
結果として使いまわしが発生します。
最近のトレンドとしては
使いまわしが最も危ないということ。
これだけ個人情報の漏洩事件が発生している中、
もはやパスワードの1つや2つは漏れるという前提で
他をどう守ろうか考える必要があります。
かつてのクライアント先で雑談中に
ある方が持っているキャッシュカードは
全て同じ暗証番号なのだと話してくれたことがあります。
「だから、1つばれたら大変だ」ともおっしゃっていました。
ところで、みなさんは
パスワードを求められるサービスを
どれくらい利用されているでしょうか。
その中には毎日使うものから月に1回、年に1回使うもの、
あるいは不定期に使うもの、そして
もう使わなくなったものなどがあると思います。
年に1回とか、不定期にしか使わないサービスの場合
利用しようと思うとパスワードを忘れていて、
結果的に毎回パスワードをリセットしている
ということはないでしょうか。
そういう声が多かったのか、ヤフーが従来のパスワードを廃止して
ワンタイムパスワードで認証する方式に舵を切りました。
SMSの受信に慣れれば、管理しきれなくてパスワードを使いまわしたり、単純なフレーズでログインしているより安全な状態になる。問題となっているパスワードリストを利用した攻撃も無効化できる。
ヤフーがパスワード廃止、人類はパスワードから解放されるか?(ビジネス+ITより)
滅多に使わないサービスは
どうせ次に使う時にはパスワードを忘れているので
最初からパスワードを設定させず、
ショートメッセージや電子メールで
ワンタイムパスワードを発行する方式ですね。
毎日それだとどうかと思うかもしれませんが
滅多に使わないサービスであれば、
切り替えたところで大して利便性は低下しません。
それどころか
ワンタイムパスワードの期限を5~10分程度に絞っておけば
それ以外の期間はログインできませんので、
ほとんどの不正ログインの試みは成功しません。
これならセキュリティも向上しますし一挙両得ですね。
一方でこういう記事もあります。
既にインターネット上で地球の総人口に匹敵する個人情報が流通し、攻撃者が個人情報をわざわざだまし取る必要のないほどの状況にある
使い放題の個人情報で変化するサイバー犯罪–パスワード前提は時代遅れに(ZDNet Japanより)
既に個人情報なんていくらでも漏洩しており、
パスワードさえ知っていればOKとするのでは危ないというもの。
ログインされても大丈夫という仕組みをどう構築していくかが
セキュリティと利便性を両立するカギのようです。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。