こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
マイクロソフトは5月4日、世界パスワードデーにパスワードレス化を支援すると同社ブログで発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】パスワードレス化に向けて、パスワードの現状について発表されています。今回は、パスワード認証の問題点や、パスワードに代わる認証方法について説明します。
150億以上のパスワードを分析した最近の研究で、最も人気のあるパスワードのトップ10に「123456」や「qwerty」が依然として含まれています。
また、フィッシングは2021年から2022年にかけて61%増加し、2023年もこの傾向が続いているということです。
認証方法としてのパスワードは、相対的に安全性が低いと言われています。
パスワードの強度は、システム側で複雑な文字列を強制しない限り、あくまでもユーザの判断にゆだねられますので、多くの場合は人間が記憶できる範囲で設定されることが考えられます。
また、人間の記憶力に個人差はありますので、人によっては極めて短い文字列のパスワードを設定してしまうリスクが発生します。最もなじみのあるキャッシュカードに設定されるパスワードである数字4桁も、ユーザのセキュリティに対する理解度によっては、一般的なWebサービスでも同様な文字列が使われてしまうかもしれません。
確かに、システム側で複雑な文字列を強制すればセキュリティの問題は解決しますが、すべての問題を解決する方法にはならないかもしれません。複雑すぎる文字列は人によっては覚えることができず、ログインできない、問い合わせが増える等の問題が発生する可能性があります。システム側で複雑な文字列を強制することに踏み切れない理由の一つになっています。
今回の記事のように、認証にパスワードを使わないことは可能です。重要なシステムや金融サービスなどでは、すでに実装が進んでいます。記事内でも紹介されているFIDOの活用です。
FIDOとはFast Identity Onlineの略で、FIDO標準に基づくパスワードレス技術は、ユーザーの認証情報をオンライン接続で渡すのではなく、デバイス上で認証を行うことでセキュリティを強化しています。パスワード自体を排除することで、ユーザに脆弱性を作り込む余地を与えない、手堅いセキュリティ対策と言えます。
システムで提供されているセキュリティ機能を積極的に利用してください。FIDOも二段階認証も、ユーザが利用することで初めてセキュリティの向上が期待できます。大切な個人情報を守るために、皆さんもご利用中のサービスで提供されているセキュリティ対策について、今一度見直してみてはいかがでしょうか?
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ