利用者とサーバーで「秘密」を持ち合うパスワード方式はもう限界だ。億単位の流出情報が流通する今の時代を乗り切る鍵は新技術「FIDO(ファイド)」にある。

 パスワードが危機にさらされる事件が後を絶たない。

 米フェイスブック(Facebook)は2019年3月21日(米国時間)、Facebookなどのユーザー数億人分のパスワードを社内システムに平文で保存していたと発表。国内では2019年1月24日、オージス総研がファイル転送サービス「宅ふぁいる便」の全登録者のパスワード480万件を流出させたと公表した。パスワードを平文で保存していた不手際が問題を大きくした。

パスワードの課題
パスワードによる個人認証は限界に
[画像のクリックで拡大表示]

 流出したIDやパスワードは特殊なアクセス手段が必要な「ダークウェブ」だけでなく、一般のインターネットを通じても流通する。数億件の規模に及ぶ巨大ファイルも存在する。

 ソリトンシステムズの長谷部泰幸取締役執行役員は「流出データが一度流通すれば消えることはない」と言い切る。サイバー犯罪者は流出情報を元手に他のWebサイトに不正ログインする「リスト型攻撃」を企てる。負の連鎖は続く。

 情報を漏洩させた事業者が取れる手段はユーザーに「同じパスワードを使っているサービスのパスワードを変更してください」と呼びかけることだけ。「できることならパスワードを保持したくない」。LINEの市原尚久セキュリティ室セキュリティ戦略チームマネージャーは本音を吐露する。

 利用者も嫌気が差している。「使い回してはならない」「類推しにくくせよ」「定期的に変更を」――。事あるごとにこう言われ続けているからだ。

 情報処理推進機構(IPA)が2018年12月に公表したセキュリティー関連の意識調査によると、ネットサービスのアカウントを「6個以上」持つ回答者の割合が4割に上った。21個以上のアカウントを持つ人も1割強いた。

 そのため管理が面倒になる。「サービスごとに異なるパスワードを設定している(使い回しをしていない)」と回答した人は半数に届かず、48%だった。「パスワードを定期的に変更している」回答者は3割にとどまった。

 パスワード管理の負担をユーザーに押し付けるやり方はもはや限界だ。安全なログインの仕組みを提供するため、Webサービス事業者やITベンダーが「パスワードレス」の技術開発と普及に動き出した。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら