Yahooは、ユーザーがパスワードを覚えているどうか、あるいは簡単に予測されたりハックされたりするパスワードを作ってしまうかどうかに依存するしくみを終らせるべく、必要な時にワンタイムパスワードを送る新しい「オンデマンド」システムを導入する。
新しいアプローチはセキュリティーを高め、ユーザーのYahooアカウントをハックされにくくすることが目的だ。ある意味でそれは達成されている。無数の人々が覚えやすいパスワードを様々なサービスで再利用しており、メールアカウントも例外ではない。これはその性質上ハックされやすい(ランダムなパスワードの方が望ましい)だけでなく、本質的に危険である。もし破られると、その人のデジタル個人情報の大きな部分、あるいはオンラインでの存在〈全体〉がオープンになるからだ。
オンデマンド・パスワードは、1度ログインすると使えなくなり、そのYahooアカウント専用なので、パスワード破りの連鎖が起きにくくなる。しかし、そこにはかなり大きな落とし穴がある。つまり、もし携帯電話を落としたら、拾った人物は持ち主のメールへの侵入チケットを手に入れることになる。
もしSMS通知がロック画面に表示さる設定になっていると、携帯電話がロックされる前に、オンデマンド・パスワードが表示されることもある。もし携帯電話を落とすと、それを拾った者はパスワードを知らなくてもIDがわかればあなたのYahooアカウントに入れてしまう。
メインパスワードを入力するとSMS経由で一時パスワードが送られてくる「2段階パスワード」の方が安全なアプローチの方かもしれない。YahooはCNETに対して、これは「パスワードを排除する第一歩」だと言っているので、今後も続いて出て来ることを期待している。
Yahooがモバイルのセキュリティーに焦点を当てたことは正しい。平均的インターネットユーザーが慢性的にベストプラクティスを実行していないからだ。ITに強い人でさえ該当する。最良のアプローチは、やはり1PasswordまたはLastPass等のパスワードマネージャーを使い、リスクを認識しておくことだ。
関連したニュースとして、同社はエンドツーエンド暗号化プラグインを垣間見せた。South by SouthwestでGoogleと共同で取り組んでいるものだ。
下のビデオ(via via The Verge)は、Yahooのソリーションが一般的な暗号化オプションと比べてどんなに簡単か見せることが目的だ。この機能はユーザーが設定しないと有効にならない。有効化されるとメール本文が暗号化され、タイムスタンプや題名などの基本的事項は平文のまま送られる。Yahooは今年中の公開を目標にしている。
[原文へ]
(翻訳:Nob Takahashi / facebook)