パスワードは私たちの最も重要なデータの安全を確保する門番のような存在だが、もはや何の意味もなさず、ハッカーや悪質行為を行う者の足止めにもならない。
現在コンピューターを利用する時に使うパスワードには多くの問題がある。私たちは一つのメインフレームのコンピューターにログインしているのではない。私たちは複数のプラットフォームに渡って多数のアプリケーションを利用している。私たちはあまりに多くのパスワードを覚えなければならない。ユーザーによってはセキュリティーを確保しようと試みようともせず、1234といった 安易なパスワードを使用したり、異なるサイトでも同じパスワードを使い回したりしてしまう。
前回新しいデバイスを手に入れ、Facebookやお気に入りのオンラインサービスにログインしようとした時のことを思い出してみて欲しい。私のようにサイトごとに異なるパスワードを設定しているのなら、そのサイトのパスワードを忘れてしまっていたことだろう。もちろん私のように「パスワードを忘れた場合」のリンクをクリックすることもできるが、そうすると他の全てのデバイスのパスワードも変更しなければならない。手間のかかるシステムだ。
私はこの問題に頻繁に直面しているが、きっと私だけではないだろう。私たちはもっと良い方法を求めている。
パスワードが多すぎる
パスワードをデータベースに静的に保存することは、セキュリティー上できる最も愚かなことだろう。リソースを十分に持つハッカー(素晴らしく賢いハッカーでなくとも)がデータベースに侵入する方法を見つけたのならパスワードを簡単に取得でき、ハッカーは宝箱を奪うという目的を達成できるのだ。私たちは過去にこれを何度も学んできた。
2012年のアンケート調査では41%の人はパスワードを覚え、29%は紙に書き、9%はコンピューターに保存すると答えた。どれも理想的な方法ではない。
2012年の別のアンケートでは、ユーザーは平均17の個人用パスワードを持ち、仕事用に8.5個のパスワードを保持しているそうだ。その数字はこの数年間で更に増加しているだろう。個別にパスワードを設定しているのなら、25個ものパスワードを覚えるのはとても大変な作業だ。
Ping IdentityやOktaといったサービスは、それぞれのログインの作業を単純化するサービスで、ある程度の成功を収めている。ビジネスにとっては有益かもしれないが、コンシューマーの役にはあまり立たない。
パスワードマネージャーを使用してパスワードを覚える助けにすることもできるが、もちろんパスワードマネージャーを守っているのは、お察しの通り、一つのパスワードだ。誰かがユーザーのパスワードマネージャーにハックしたのなら、全てのパスワードが奪われる。今年の初めに LastPassに実際に起きたことだ。
しかし、パスワードを管理してどれだけ丁重に扱ったとしても、ここ2年間で起きた不名誉なハッキング事件で流出しているかもしれない。
対策をしない場合の末路
このような事件は何度も何度も繰り返されてきた。「インターネット失態の歴史」に流出事件が刻印されている。 Target、Sony、Anthem、更にはアメリカ合衆国人事管理局(OPM)まで、このような大量流出事件は何度も繰り返されるのを私たちは見てきた。流出事件が起きる度にハッキングのブラックマーケットには私たちのパスワードで溢れるのだ。
もちろんこのような事件が起きたのは安易なパスワードが原因ではないが、ハッカーがパスワードを当てたり、マルウェアを仕込んでパスワードを盗むのは困難なことではない。大規模なハッキングで宝を盗まなくても良いのだ。一度システムに侵入してしまえば、彼らは多様なデータストアを盗み出すための洗練した方法を持っている。
ユーザーに負荷がかからないようにすべきだ。セキュリティーをシンプルにし、ユーザーが簡単にアクセスできるようにすると同時に悪意ある人から重要な情報を盗みづらくするのは、インターネット企業を運営する賢い人達にかかっている。
Ping Identity、Menlo Security、ThreatStreamといった多くのセキュリティ企業に投資するGeneral Catalystのマネージングディレクターを務めるSteve Herrodによると、問題の一部は企業が自社のデータベースのデータを把握していないことにあるという。
「会社の上層部の人間が保持しているデータを棚卸ししなければならない。私たちが保持しているデータベースはこの通りですというように。それが流出した場合、どれほど被害があるでしょうか。」とHerrodは問う。何を保持しているか把握できれば、企業が自社の機密情報を守るために必要なことができるようになる。また、問題はセキュリティーシステムが、最も重要なデータを守るために設計されていないことも問題だとHerrodはいう。
ユーザーの負荷を減らす
そして、これが重要だ。ユーザーに負荷がかからないようにすべきだ。セキュリティーをシンプルにし、ユーザーが簡単にアクセスできるようにすると同時に悪意ある人から重要な情報を盗みづらくするのは、インターネット企業を運営する賢い人達にかかっている。このことを検討する方が、ユーザーに良い広告を届ける方法を考えるより有益な時間の使い方のように思う。(広告の話はあくまで例えだが。)
システムはあまりに頻繁に責任をユーザーに押し付け、コンシューマーや従業員の仕事を複雑にする。30日毎にパスワードを変更し、過去に使ったものは使用できず、大文字と小文字を入れて、最低2つの数字と特殊記号を入れなければならないのは、ユーザーの重荷となる。ランダムな羅列のパスワードをユーザーに覚えることを強要し、結果的にユーザーはパスワードを付箋に書いて、モニターに貼るといったセキュリティーの低い手を使うことになってしまう。あるいは、もっと分かりやすくパスワード用の手帳みたいなのを作ってしまうかもしれない。
重要なのは、ユーザーに必要以上の作業方法を強いずに個人情報の安全を確保することだ。パスワードが盗まれることを難しくし、理想的には不可能にすることが目標だ。それには、自動で永久に変わるパスワードや指紋認証や虹彩認証が必要かもしれない。指先と目はいつも自分と共にあるのは注目すべき点だ。忘れることはないし、データベースにスキャンして保存する必要もない。システムレベルで関わることができるし、他の誰かが使用することもできない。(気分が滅入るような状況は考えつくが、それは説明しないでおこう。)アイスキャンやカメラは既にいくつかのデバイスには搭載されている。指紋スキャンができるデバイスもある。
もちろん完璧な対策ではないかもしれないが、現状の方法より良いものだろう。パスワードは効果的ではないにも関わらずユーザーがその責任を負うしかないが、本来システムは全くの逆でなくてはならない。パスワードを慎重に扱ったとしても、データベースがハックされてしまえば全く意味がないのだ。実際の所多くの人はそもそも慎重ではないと思うが、例え地球上で最も精巧なパスワードを持っていたとしても盗まれてしまったらハッカーの物となってしまうのだ。
賢いエンジニアやセキュリティーの天才の集合知と能力を使って是非良い方法を見つけ出してほしい。絶対に現状より良い方法があると思っている。
パスワードに死をもたらそう。皆のために。
[原文へ]