パスワードはいらないんじゃない?ぼくのかんがえたさいきょうの方法
情報管理LOGの@yoshinonです。
すみません。調子こきました。
そこまで最強じゃないかもしれませんが、パスワードを用いない方法について考えてみた。
【 パスワードはいらないんじゃない?ぼくのかんがえたさいきょうの方法 】 1.パスワードってセキュリティリスクそのものじゃない? 2.ぼくのかんがえたさいきょうの方法 |
最近では、ユーザー情報であるパスワードやIDが漏洩したとかいうニュースを見ても驚かなくなってきました。年間通して見ても、もはやありふれたニュースにさえなっています(本当は、すごくダメなんだけど)。
そこで、最近では
「パスワード」による管理って、それ自体がセキュリティリスクなんじゃないの?
という論調も多く見られるようになってきました。
パスワード認証のリスクと課題を考える:PCセキュリティ対策の“危険”な現状 - ITmedia エンタープライズ
あなたの会社のセキュリティ対策は大丈夫!? ありがちな対策に潜む盲点をQA形式で解説!
Web サービスにパスワードは必要ない - Frasco
実際のところ私たちは、あまりにもIDとパスワードというセットでログインするという行為が、当たり前のものになりすぎていて、「そういうものだ」という調教がずいぶんされているわけです。そのため、次々に出てくるWebサービスに対して、もはや何も考えずに、この項目をせっせと埋めているわけです。

ほんの数桁のパスワードにどれほどの効力があるのか謎ですし、いくつもパスワードを考えるのが面倒だったり、パスワード自体を忘れるリスクから、パスワードの使い回しが横行しているワケです。したがって、今やログイン認証における、ID+パスワードが本当に安全性を担保しているのかというと、非常に怪しいわけです。
定期的なパスワードの変更を要求してきたり、ログインさせられる度にパスワードを要求してきたりと、ユーザーサイドに色々求め過ぎな点もどうなんだ?という気がしないわけではありません。
パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている | まるおかディジタル株式会社
というわけで、パスワードを使わない方法です。
それは、
ブラウザ自体をキーにするという方法です。
だいたいWebサービスを使う場合ってほとんどが、ブラウザを経て使いますよね?それならば、いっそのことブラウザが認証のキーを担ってしまえば、ユーザーサイド側では、IDやパスワードを生成する必要もなくなるわけです。
というわけで、こういうツィートをしたわけです。
メルアド+パスワードは、もうそろそろ古いシステムだと思いますね。
— yoshinon@情報管理LOG (@yoshinon) 2017年11月4日
でも、メルアドではイマイチかな?私はブラウザ自体がキーになるというのは、どうかな?と思うんですけどいかが?
Web サービスにパスワードは必要ない - Frasco https://t.co/I19MRleowU pic.twitter.com/AjKNa6msUi
ブラウザ自体が、ID+パスワードなんて、それこそリスキーだよ!
と思う人がいるかも知れませんが、もちろんその通りです。
ブラウザには、IDやパスワードなんていれません。
その代わりに第三者(認証サーバー)による(GoogleとかMicrosoftなど)アクセストークンをブラウザに内蔵してしまうのです。
したがって、最初にブラウザ自体を認証する必要が生じるわけですが、その1回だけでセキュリティリスクが低減するうえ、いちいちIDやパスワードを入力する手間が省けるわけですから、大した手間にはなりません。
図にするとこんな感じ。

さらに、ログインすると、所定のメルアドに「○○に初めてログインしました」とメールが届き、そこに示されている認証用のURLをクリックすることで、完全に認証が確立するという仕組みにしておけば楽ちんですよね。


もしも、こんなのじゃ生ぬるいよ!
というならば、所定のメルアドの部分をスマホ用認証アプリをタップすることでとすると、さらに1段階以上セキュリティは高まります。

これって、OpenIDやOAuthじゃない?
とか思った人は、鋭いです。でも、それをブラウザ側に担わそうというのが、今回の趣旨です。Chromeとかは、GoogleのIDによってブラウザの同期とかをやっていますよね。つまり、ブラウザ自体が非常にパーソナルな設計になっていることを考えると、そういうのもありかな?と思った次第です。

セキュリティクラスタの皆さんにボコボコにされそう…
自分が、それほど詳しくはない界隈に口を挟むなんて、とんでもない身の程知らずだなと自分でも思うわけですが、それでもこのアイデアそれほど悪くはないなと思うんですよね。きっと、セキュリティクラスタの皆さんから見たら、「これだから素人は…はぁ」となってしまうのかもしれませんが。
もしも、その場合は、できたら優しく「@yoshinonくん、それはね…」と教えていただけると、勉強になります。
「AIの遺電子 8」出ましたね!今回で最終巻だそうです。
- 関連記事
-
- Amazonのレビューはどこを見るべきか?
- パスワードはいらないんじゃない?ぼくのかんがえたさいきょうの方法
- 「迷信」という名の呪い