ここから本文です

さらば、パスワード Slackも採用したパスワードレス認証とは

12/5(火) 11:43配信

ITmedia エンタープライズ

 セキュリティがテーマのこのコラムで、最もよく出てくる話題といえば、「パスワード」。管理する側もされる側も悩みがつきないのがこの問題です。

Slackに使われているパスワードレス認証が可能な「マジックリンク」

 パスワードは、“あなたがあなたであることを証明するための仕組み”であり、漏れると「なりすまし」の危険にさらされてしまいます。これがお金に直結する金融関連のものだったり、SNSの不正な投稿によって「炎上」したりするようなものだったら目も当てられません。最悪の場合、生活を脅かされることだってあるでしょう。パスワードはそれほど身近で重要なものなのです。

 そんなパスワードですが、ずいぶん前から「この仕組みを変えよう」という試みが始まっています。

 これまでは、強いパスワードというと、“1つ以上の記号が含まれ、大文字小文字が混在し、数字も入っているもの”というのがセオリーでしたが、パスワードの強度を高める新たな方法として、「長さ」に注目する動きが出てきたのです。

 ただ、これまでのようなランダム性の高い文字列に、「長さ」の要件までつけ加えると、人の能力では覚えきれなくなってしまうため、パスワードではなくパス“フレーズ”を考えることが提唱されています。

 パスフレーズは、“できる限り関連性のない単語を複数並べ、ハイフンやスペースで区切る”という方法。具体的には「hope-artless-elate」「probably-optima-myriad」「loose-soften-petition」といったものが例として挙げられます(これらはパスワード管理ソフトのパスフレーズ生成機能で作りました)。

 ほかにも、「disneylandisyourland」のように、文字通り“フレーズ自体をパスワードにする”場合もあります(これはフレーズの例としてはあまり良くありませんが……)。端的にいえば、「とにかく長いパスワードを作りましょう」ということです。

●パスフレーズが普及しない理由

 一見、使いやすそうに見えるパスフレーズですが、現状ではあまり普及していません。私としても、あまりお勧めできない状況です。なぜなら、各種サービスで使われているパスワードは、「文字数の上限」が少ないケースが多いためです。

 パスフレーズのキモは、その長さにありますが、ほとんどのサービスでパスワードの文字数が、長くて64文字、短いものだと8文字までしか対応していないのです。これでは効果的なフレーズは使えず、結局、短めのパスワードを強固にするしかなくなってしまいます。

 結局、現状では、パスフレーズを工夫するより、“パスワードが弱くても、流出しても一定の効果がある2要素認証”を利用した方がセキュリティ面での安心、安全を確保できるのですが、これはこれで利用のハードルが高いことから、普及づらいのが難しいところです。

●にっくきパスワード問題に打開策登場?

 パスフレーズは使えない、2要素認証は面倒、パスワードマネジャーはもっと面倒……。こんな状況のパスワード問題に打開策はあるのでしょうか。

 実は、セキュリティレベルは2要素認証より若干落ちるものの、ちょっと面白い認証方法が登場しています。

 ユーザー登録時にメールアドレス(ID)とパスワードを登録するのはこれまでと一緒ですが、ログイン時にIDを入力後、サイトに用意された「マジックリンク」と名付けられたボタンを押します。すると、登録したメールアドレスにログインのためのURLが送られ、それをクリックすることでパスワードを入力することなく、ログイン処理が行えるのです。

 この、「マジックリンク」という認証方法は、最近、注目を集めているチャットツール、「Slack」の認証などにも使われています。

 マジックリンクは厳密には2要素ではありませんが、2要素認証と同様、ユーザーが持つ「メールアドレス」を鍵としたログインの仕組みです。この仕組みを使えば、ユーザーはいちいちパスワードを入力する必要がなくなります。

 これで本当に大丈夫なの? と不安に思う人もいるかもしれませんが、パスワードを忘れるたびに、登録したメール宛てに再設定のURLを送ってもらうのと、やっていることは大して変わりません。その意味では、ほとんどのサービスがこの方法を既に実装しているようなものといえるかもしれません。

 ただし、マジックリンクを使う際には注意が必要です。この仕組みは、“自分のメールにアクセスできる人が自分だけである”ことが大前提になるので、他人が使う可能性があるPCやスマートフォンでは「毎回メールサービスをログアウトする」などの作業が必要になります。でも、それさえしておけば、“複雑化する一方のにっくきパスワード”をなくしてくれるのです。

 生体認証のように技術で認証をラクにする方法だけでなく、利便性を考えて、「メールアドレスを強固に守ってもらうことで、パスワードの利便性を高める」という考え方はなかなか面白いのではないでしょうか。

 では、そのカギとなるメールアドレスはどう守ればいいのか――。そこだけは、ちょっと面倒でも2要素認証やスマートフォンを使うことをお勧めします。

●著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より:

2015年2月10日に本連載をまとめた書籍『デジタルの作法~1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。