パスワードセキュリティの未来はどうなる?

 2022.11.15  三和コムテック

パスワードは、私たちの生活におけるセキュリティにとって、とても不十分なように思えます。
パスワードは常に危険にさらされたり、アプリのセキュリティ上の欠陥からハッキングされたりする可能性もあり、決して十分な強度があるとは限りません。8文字の完璧なパスワードを思いついても、「そのパスワードは前に使用したことがあります」と言われ、頭を悩ませることは、ほとんどの人が経験したことがあるでしょう。
安全なビデオ会議やサイトのアカウントごとに異なるパスワードを使うべきだとわかっていても、複数のパスワードを覚えるのは大変です。文字や数字の羅列で頭をいっぱいにするには、人生はあまりにも短いのです。また、パスワードをすべて付箋に書いておくと、それだけで危険が伴います。

あなたのすべてのパスワードが、お気に入りのSmokey Robinsonの曲の歌詞であることを、誰が想像するでしょうか?あるいは、生まれた年の数字と出身地の名前?あるいは、誰も推測しないようなものならよいでしょうか?
例えば "123456"ならどうでしょう! なぜなら、あまりにも簡単すぎるからです。シンプルでハッカーを騙せる。天才的です。もっといいのは、パスワードを "Password"にすることでしょうか。
これらのパスワードの選択肢は、まじめな提案やパスワードの選択肢ではありません。
どうか"Password"や"123456"をパスワードに選ばないでください。
YouTubeのあの人のように、入念な計画で詐欺師にハッキングされようとしているのなら話は別ですが。
では、2003年以来何にでも使っている使い古されたパスワードを使ったり、つい前日に変更したものをもう忘れてしまってログオンするたびにパスワードを変更したりする代わりに、どんな方法があるのでしょうか?

パスフレーズ

パスワードは聞いたことがあると思いますが、パスフレーズはご存知ですか?6~10文字のパスワードの代わりに、フレーズ全体を選択することができます。ツールに記載できる文字数に上限がなければ、希望すれば100文字程度のものを選ぶことも可能です。難しいように聞こえるかもしれませんが、パスワードよりもフレーズの方が覚えやすい場合があります。大文字、数字、句読点は不要です(ただし、あるとより安全性が高まります)。パスワードやフレーズが長ければ長いほど、ハッキングは難しくなります。フレーズの中に複数の単語があると、攻撃者にとって余計な時間と労力がかかるからです。

パスワード保存システム

とてもシンプルなパスワード保存システムです。さまざまなウェブサイトのパスワードをあなたに代わって自動入力します。ソーシャルメディアのセキュリティのためのパスワードは、システムが可能な限り強く、ハッキングされないように作成したものなので、そもそもそのパスワードが何が何だかわからないかもしれません。これらのシステムの欠点は、デバイスが同期していない場合、つまりデバイス間で同じシステムを利用していない場合、パソコンからしかログオンできず、携帯電話からはできない、またはその逆の場合があることです。例えば、あなたがビジネスを営んでいて、企業が提供する電話システムと統合された様々なソフトウェアを使用しているとします。その場合、そのソフトウェアにアクセスする必要があるすべての人に、必要なログイン情報を提供する必要があります。ある程度の技術力と忍耐力が必要です。 また、テクノロジーへのアクセスも必要です。これらのパスワードは強力ですが、完全にハッキングされないというわけではありません。

バイオメトリクスデータ

このシステムはすでに馴染みがあることでしょう。自宅の端末でなくとも、空港の出入国管理用セルフサービス機でも使用することが可能でしょう。DocuSignのオプションに代わるものとして、自分自身であることを証明するためにバイオメトリックデータに頼ることがあります。
自分自身の指紋や顔を覚えておく必要はなく、常に身につけている情報を使えばいいのです。それは素晴らしいことです。携帯電話のロックを解除したり、アプリケーションストアで購入したりする際に、従来のパスワードよりもずっと便利です。 しかし、注意点があります。生体情報は盗まれる可能性があるのです。どのようにでしょうか?生体情報は、他の情報と同様、デバイスに保存されるため、ハッキングの対象になりやすいのです。また、一見何の変哲もないアプリから経由して盗まれた疑いのあるケースもあります。
写真を撮ると、性別が変わったり、赤ちゃんの頃や、年を取ったときにどんな顔をしているか見ることができるアプリのことを聞いたことがあるかもしれませんし、使ったことがあるかもしれません。人々が誤って自分の個人情報の数々を、鮮明な顔写真とともに、見知らぬサーバーに送信してしまうことが懸念されたのです。
この世の中に不可侵なものなどないのでしょうか?人は、まだできてもいない眉間のしわについて、平和に悩むことはできないのでしょうか?さて、livenessAIは、文字通りフェイスマスク(人の顔のプラスチックマスク)をつけたハッカーが、なんとか人のIDを盗もうとするのを阻止するのに役立ちますし、ACIDデータベースツールは、データの安全性を保つのに役立ちます。技術は常に進化しており、攻撃者のツールよりも速いペースで進化していることを願っています。

二段階認証

在宅勤務が一般的になるにつれて、二段階認証の利用が増加しています。例えば、新しいデバイスからソーシャルメディアのアカウントにログインすると、ユニークなコードが記載された電子メールが送信され、それが本当にあなた自身であるかどうかを確認することができるものです。
また、携帯電話にログインするためのコードやクリックするとログインできるリンクが送られてくることもあります。このためにダウンロードできるアプリを提供している企業もあります。現在、多くの銀行がユニークなコードを生成するカードリーダーやトークンを提供しており、より高いセキュリティで銀行にログオンすることができます。
これは、単一のパスワードに依存するよりも安全ですが、攻撃者は理論的にはまだコードを傍受することができます。さらに、これらのシステムの多くは、誰もが持っているわけではないスマートフォンで簡単に利用できるようになっています。米国では65歳以上のほぼ3分の1がスマートフォンを持っていないのです。
そしてもちろん、時にはカードリーダーを紛失したり、最も都合の悪い時(思いつきで不用意な買い物をしようとしていた場合は好都合)にバッテリーが切れたりすることもあります。

何がパスワードフリーを妨げているのでしょうか?

社会的にパスワードフリーを阻んでいるものがいくつかあります。習慣:私たちはあまりにも長い間パスワードを使用してきたため、パスワードのない世界を想像することは困難です。また、場合によっては、生体情報によって私たちを識別するロボットを信用することが、怪しく感じられるかもしれません。私たちだけが知っている(と思いたい)パスワードやパスフレーズは、コントロールしている感覚を与えてくれる可能性が高いのです。
テクノロジーへのアクセス不足:世界中の誰もがスマートフォンにアクセスできると思うかもしれませんが、それは間違いです。誰もがパスワードフリーを実現するためのテクノロジーにアクセスできるわけではありません。パスワードフリーを検討することは、ある種の特権であることに変わりはないのです。
賢い攻撃者:私たちがデータの保護に賢く、効率的になればなるほど、攻撃者は私たちが使っているモバイルアプリのセキュリティ問題をより賢く、効率的に見つけてくるようです。まるで、「トムとジェリー」のエンドレス・エピソードのようです。
パスワードにはまだ使い道があります:パスワードは、優れたシステムではないものの、私たちが持ちうる中で今のところ最良のものでもあります。パスワードは、それ自体ではそれほど優れたものではありませんが、パスワードの保存を助けるシステムや、それが私たち自身であることをダブルチェックするシステムがなければ、パスワードは、代替方法を見出していない、確認プロセスの1つのステップなのです。
パスワードは手頃な価格です:パスワードは基本的に誰でも使えるゼロコストのオプションなので、企業はパスワードを使い続けたいと思うものです。また、大規模に使用するのもかなり簡単です。
プライバシー:パスワードは往年の古くて錆びた道具のように感じるかもしれませんが、生体情報にはないもの、つまりプライバシーの付加を提供します。

DNSシステムが悪用されると危険であるように、DNSリークテストを行うことが望ましいのですが、生体情報が悪用され、個人情報漏洩などにつながることが懸念されます。パスワードは変更可能ですが、指紋は変更できません。

変更可能:データ漏洩の件では、生体情報のホストが盗まれた場合、変更することはできませんがパスワードは無限に変更できます。ポストイットノートは決して冗長になることはありません。

さて、パスワードの未来はどうなるのでしょうか?

サイバーセキュリティのメソッドは、何度も解かなければならない、現在進行形のパズルです。パスワードは将来も存在するのでしょうか?近い将来は、存在するでしょう。遠い未来ではどうでしょうか?はっきり述べるのは難しいですが、ビニールやポラロイドカメラ、タイプライターがまだ存在するように、パスワードも存在するのかもしれません。 パスワードの未来はまだ決まっていませんが、パスワードは無料で変更可能なオプションであり、単独で使用するのは難しいとしても、データ・セキュリティの一部としては魅力的なものです。二段階認証や生体情報とともに、複雑なパズルの重要なピースとなる可能性があります。



こちらの記事はAppknox, Xysec Labs社の記事より引用して作成しています。
参照元:
What Does the Future of Password Security Look Like?(Appknox)
https://www.appknox.com/blog/future-of-password-security


三和コムテックでの取扱製品

三和コムテックではモバイルアプリ診断製品や手動 Web アプリケーション診断も取り扱っております。
ご興味をお持ちの方は弊社までお問い合わせください。

また、各製品ページもございます。

SCT SECURE スマホアプリ(モバイルアプリ)診断サービスのご紹介ページ
SCT SECURE 手動 Web アプリケーション診断のご紹介ページ

こちらもぜひご覧ください。

SCT Security Solution Book

RECENT POST「セキュリティ」の最新記事


DevSecOpsとは?基本概念から導入方法まで完全ガイド
セキュリティ

DevSecOpsとは?基本概念から導入方法まで完全ガイド

APT攻撃とは?危険なAPT攻撃の手口から被害事例、対策を解説
セキュリティ

APT攻撃とは?危険なAPT攻撃の手口から被害事例、対策を解説

APIセキュリティの必要性とは?攻撃リスクと対策方法を徹底解説!
セキュリティ

APIセキュリティの必要性とは?攻撃リスクと対策方法を徹底解説!

CSPMとCWPPの違いとは?両者の違いと弱点を補強するサービスを解説!
セキュリティ

CSPMとCWPPの違いとは?両者の違いと弱点を補強するサービスを解説!

パスワードセキュリティの未来はどうなる?
ブログ無料購読のご案内

おすすめ資料

PAGETOP