【揺花草子。】<その1710:なんでもないや。>
【揺花草子。】<その1710:なんでもないや。>
Bさん「やや過激な表現として『パスワードは死んだ。』などと言われることもありますが。」
Aさん「あぁ・・・セキュリティ界隈ではそう言う話題も出るね。」
Bさん「我々は日々たくさんのログインIDとパスワードで
各種Webサービスを利用しているよね。
SNSとかブログとかもそうだし、
そもそもPCを使う際もログインをしているわけだし。」
Aさん「そうですねぇ。」
Cさん「そうやって増加の一途を辿るIDやパスワードを管理するために、
人はしばしば違うサービスでも同じIDとパスワードを使いがちよね。」
Aさん「そうですね。
それが、ある1つのサービスからユーザー情報が漏えいした際に
他のサービスでもアカウントが危機に晒されてしまう理由になるわけですけど。」
Bさん「そうは言っても、それらひとつひとつのアカウントに
個別のパスワードを設定して、それを全部覚えておくと言うのは
現実的にはとても難しい。
だからパスワードの使い回しと言う、いわゆる『運用でカバー』と言う
方策を取る人が多いわけだよね。」
Cさん「パスワードを書いた付箋紙をディスプレイ回りに貼ってたりとか
机の引き出しの中にしまってたりとかする人もいるけど、
それらも他人が容易に視認可能と言う点で脆弱だわ。」
Aさん「うーん・・・。」
Bさん「こう言う管理運用の煩雑さや脆弱さが看過できないレベルまで来ていることを指して
『パスワードは死んだ』なんて言うセンセーショナルな表現で呼ぶわけですが。」
Aさん「そうですね。」
Bさん「もはや死に体となったパスワードに変わる認証手段は
いろいろ検討されているし、実用化されているものもある。
SMSを利用した2要素認証なんてのも最近は多いし、
トークンを使うワンタイムパスワード方式なんてのもある。
どちらも相応のバックグラウンドの設備が必要だから
簡単に導入できるものではないけれどもね。」
Aさん「まあ、確かに。」
Cさん「その他、各個人が固有のものとして保有している情報を利用するアイディアは
随分昔から考えられていたわよね。
具体的に言えば生体認証。
中でも網膜認証や指紋認証は技術的にもこなれて来ていて、
昨今は個人デバイスレベルでも採用されているわ。」
Aさん「そうですね。iPhone さんには指紋認証がついてるんですもんね。」
Bさん「そうなの。
数ケタのパスコードでも認証できるけど、事前に登録していた指紋によって
ロックを解除することができる。
ぼくらも普段から便利に使っています。」
Aさん「うんうん。」
Bさん「でもぼくさ、この指紋認証に大きな脆弱性があることに気付いてしまった。」
Aさん「えっ・・・脆弱性?
どんな・・・?」
Bさん「見知らぬ誰かと心と体が入れ替わっちゃったら
その相手に自分の指紋で
認証が突破されちゃう脆弱性。」
Aさん「見知らぬ誰かと心と体が入れ替わるのを
想定してないと思うよ。」
お前は誰だ。
----------
「Meister's Brief」から自動転送
http://www.studiohs.com/28if/brief/2016/10/02.html
