パスワードレスを考えよう(1)~常識を疑えば"うんざり"はなくなる~

  • パスワード
  • 多要素認証
  • 攻撃者
  • 認証
  • 防御
  • 2019.05.09
  • 森 駿

さて唐突ですが、パスワードの運用、面倒くさくないですか?

何が面倒かというと。

• 他人に侵入されないように複雑なパスワードにすることを求められる  → 覚えられない
• 定期的にその複雑なパスワードの変更を求められる  → もっと覚えられない
• いくつものシステムやアプリケーションが上記のプロセスを求めてくる → パニック

いまはスマホでアプリの時代ですから、会社のシステムのみならず個人利用のアプリがみんなこんなこと言ってくるのでうんざりですよね。

で、スマホのメモアプリにパスワード羅列してませんか?
まさか全部同じパスワードで運用してないですよね?

いやいや、1つや2つならともかく、10や20のシステムで「複雑なパスワード」+「定期的なパスワード変更」なんてできません。
人間は弱くて賢い生き物ですから、楽になる道を見つけ出します。それが安全かどうかは別にして。
厳しすぎるルールはかえってセキュリティーホールを生み出すものなのです。

SSOを入れると楽になる

「いくつものシステムやアプリケーションが上記のプロセスを求めてくる」のを解決するために SSO (Single Sign On) という仕組みがあります。
利用者がSSOシステムにログインすると、SSOシステムに紐づいたシステムやアプリケーションには本人認証のプロセスを踏むことなく利用できるようになります。
※実際には裏でそれぞれの本人認証プロセスが走っています。
これにより、利用するシステムがいくつあっても、最初の本人認証プロセス1回だけで後は面倒な操作なく利用できますし、パスワードの変更プロセスもSSOシステムだけで良いというわけです。画期的ですね。

昔からいろいろな仕組みが存在しています。エンタープライズ向けだとHPのIcewallなんて有名です。クラウド連携でいうとOktaがグローバルでNo.1です。

個人利用だと、Facebook ID、Google ID、Yahoo! ID などがあります。
みなさんもこういったIDを使ってさまざまなアプリケーションにログインした経験があるのではないでしょうか。

「複雑なパスワード」と「定期的なパスワード変更プロセス」は時代遅れ

でも。
「複雑なパスワード」と「定期的なパスワード変更プロセス」は残ります。
残念です。

歴史を紐解くと「パスワードって駄目なんじゃないか」→「パスワードを強固にしよう」という改善(改悪)の潮目は何度も発生してきました。

1. 複雑なパスワードを使いましょう
 文字数を長くする。
 文字の種類を増やす。英字(大文字、小文字)、数字、特殊文字を組み合わせる。
2. 定期的に変更しましょう
 3カ月に一度変更する。
3. 一度使ったパスワードは使わないようにしましょう
 過去3回までに使ったパスワードは使えない。
 一度使ったパスワードは二度と使えない。

どんどん複雑で負荷の高いプロセスになり、世の中の怒りが頂点に近づきつつあった2017年、あることが起こりました。
みなさんご存知の通り、こうした改善(改悪)の歴史は2017年8月7日に完全否定されたのです。これらの複雑なルールを2003年に提唱した米国立標準技術研究所(NIST)の元研究者ビル・バー氏が「結果的に間違いだった」と発言し、NISTはガイドを全面改訂しちゃったんですね。

「複雑なパスワード」と「定期的なパスワード変更プロセス」は意味がないのです。


「パスワードレスを考えよう(2)~常識を疑えば"うんざり"はなくなる~」につづく・・・