情報管理LOG
yoshinon

ITやモバイル機器、iPhone、手帳や本など。

パスワードはいらないんじゃない?ぼくのかんがえたさいきょうの方法

2017年11月09日
考察 0
2017110900.png


情報管理LOGの@yoshinonです。
すみません。調子こきました。
そこまで最強じゃないかもしれませんが、パスワードを用いない方法について考えてみた。

  
【 パスワードはいらないんじゃない?ぼくのかんがえたさいきょうの方法 】  

 1.パスワードってセキュリティリスクそのものじゃない?

 2.ぼくのかんがえたさいきょうの方法






最近では、ユーザー情報であるパスワードやIDが漏洩したとかいうニュースを見ても驚かなくなってきました。年間通して見ても、もはやありふれたニュースにさえなっています(本当は、すごくダメなんだけど)。

そこで、最近では
「パスワード」による管理って、それ自体がセキュリティリスクなんじゃないの?
という論調も多く見られるようになってきました。

パスワード認証のリスクと課題を考える:PCセキュリティ対策の“危険”な現状 - ITmedia エンタープライズ
パスワード認証のリスクと課題を考える:PCセキュリティ対策の“危険”な現状 - ITmedia エンタープライズ


あなたの会社のセキュリティ対策は大丈夫!? ありがちな対策に潜む盲点をQA形式で解説!
あなたの会社のセキュリティ対策は大丈夫!? ありがちな対策に潜む盲点をQA形式で解説!


Web サービスにパスワードは必要ない - Frasco
Web サービスにパスワードは必要ない - Frasco




実際のところ私たちは、あまりにもIDとパスワードというセットでログインするという行為が、当たり前のものになりすぎていて、「そういうものだ」という調教がずいぶんされているわけです。そのため、次々に出てくるWebサービスに対して、もはや何も考えずに、この項目をせっせと埋めているわけです。

2017110901.png



ほんの数桁のパスワードにどれほどの効力があるのか謎ですし、いくつもパスワードを考えるのが面倒だったり、パスワード自体を忘れるリスクから、パスワードの使い回しが横行しているワケです。したがって、今やログイン認証における、ID+パスワードが本当に安全性を担保しているのかというと、非常に怪しいわけです。

定期的なパスワードの変更を要求してきたり、ログインさせられる度にパスワードを要求してきたりと、ユーザーサイドに色々求め過ぎな点もどうなんだ?という気がしないわけではありません。

パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている | まるおかディジタル株式会社
パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている | まるおかディジタル株式会社







というわけで、パスワードを使わない方法です。
それは、

ブラウザ自体をキーにするという方法です。

だいたいWebサービスを使う場合ってほとんどが、ブラウザを経て使いますよね?それならば、いっそのことブラウザが認証のキーを担ってしまえば、ユーザーサイド側では、IDやパスワードを生成する必要もなくなるわけです。
というわけで、こういうツィートをしたわけです。






ブラウザ自体が、ID+パスワードなんて、それこそリスキーだよ!

と思う人がいるかも知れませんが、もちろんその通りです。
ブラウザには、IDやパスワードなんていれません。
その代わりに第三者(認証サーバー)による(GoogleとかMicrosoftなど)アクセストークンをブラウザに内蔵してしまうのです。

したがって、最初にブラウザ自体を認証する必要が生じるわけですが、その1回だけでセキュリティリスクが低減するうえ、いちいちIDやパスワードを入力する手間が省けるわけですから、大した手間にはなりません。
図にするとこんな感じ。

2017110902.png



さらに、ログインすると、所定のメルアドに「○○に初めてログインしました」とメールが届き、そこに示されている認証用のURLをクリックすることで、完全に認証が確立するという仕組みにしておけば楽ちんですよね。

2017110903.png

2017110904.png


もしも、こんなのじゃ生ぬるいよ!
というならば、所定のメルアドの部分をスマホ用認証アプリをタップすることでとすると、さらに1段階以上セキュリティは高まります。

2017110905.png



これって、OpenIDやOAuthじゃない?
とか思った人は、鋭いです。でも、それをブラウザ側に担わそうというのが、今回の趣旨です。Chromeとかは、GoogleのIDによってブラウザの同期とかをやっていますよね。つまり、ブラウザ自体が非常にパーソナルな設計になっていることを考えると、そういうのもありかな?と思った次第です。




 eyeglass2.png 情報管理LOGの眼
 セキュリティクラスタの皆さんにボコボコにされそう…

自分が、それほど詳しくはない界隈に口を挟むなんて、とんでもない身の程知らずだなと自分でも思うわけですが、それでもこのアイデアそれほど悪くはないなと思うんですよね。きっと、セキュリティクラスタの皆さんから見たら、「これだから素人は…はぁ」となってしまうのかもしれませんが。
もしも、その場合は、できたら優しく「@yoshinonくん、それはね…」と教えていただけると、勉強になります。


AIの遺電子 8」出ましたね!今回で最終巻だそうです。
AIの遺電子 8 (少年チャンピオン・コミックス)[Kindle版]
posted with ヨメレバ
山田胡瓜 秋田書店 2017-11-08
Kindle
Amazon[書籍版]


関連記事

コメント0件

コメントはまだありません