パスワードの未来
各種PC業務において必須となっているログインパスワード等は「覚えにくく管理が難しい」しろもの
またパスワードは漏えいしやすく、いったん漏えいすると危機管理上、重大な事態を招きかねません。
2023年5月、Googleはパスワードを段階的に廃止する動きの一環としてある発表を行いました。
https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/
この動きは、2022年AppleやMicrosoftが起こした『パスワードレス認証規格』の利用拡大を推進しようとする行動に沿ったもの。
Googleはパスワードレス認証規格「パスキー」(PassKey)を採用、アカウント保持者がパスキーを作成できるような仕組みを作りました。
パスキーは認証情報をローカルPCやモバイルデバイスなどに保存する方式の一種で、FIDOアライアンスとW3Cが標準化しています。
パスキーを利用すると、顔や指紋のスキャンを利用したスマートフォンなどのデバイスへの認証アクセスと同じようにアプリケーションやWebサイトへのサインインが可能になります。つまりパスワードを入力する必要がなくなります。そのためフィッシング攻撃による認証情報のハッキングリスクを軽減できるのです。
GoogleはAppleやMicrosoft・FIDOとともに、Googleのプラットフォームでパスキーをサポートできるよう2022年に作業を開始しており、今回Googleアカウントユーザーが利用できるようになりました。
Googleの発表と同日、パスワードマネジャーなどを開発するDashlane社は、「パスワードレスログイン」と呼ばれる機能を発表しました。パスワードマネジャーのユーザーがサービスにアクセスするためにマスターパスワードを作成する必要がなくなり、管理が断然、容易になります。
GoogleとDashlane社による発表は、IT業界全体で認証方法としてパスワードの使用を廃止するという広範な取り組みを反映したもの。
直近の1年間を見ても、たびたび従業員やサードパーティーベンダーに対するフィッシング攻撃から始まった『データ漏えいやランサムウェア攻撃』が報じられ、業界の危機意識は非常に高まっていました。
フィッシング攻撃などによってパスワードが漏えいすると、顧客情報や企業秘密、場合によっては企業が開発したアプリケーションのソースコードなどの機密データが攻撃者の手に渡ってしまう。
Dashlane社ドナルド・ハッソン氏(最高製品責任者)は「パスワードを入力しなければならない状況をなくすことが目標。侵入やハッキングの80%以上は盗まれた(パスワードなど)認証情報が発端」と述べています。
また「マスターパスワードの廃止によりフィッシングに強いアカウント作成が可能になる」とも。これにはユーザーの社内ヘルプデスクへの問い合わせの20~50%が『パスワードリセット』に関連するものという調査結果が引用されています。要するにユーザー側もパスワード管理を負担に感じているということ。
近い将来、パスワードを求められることはなくなる蓋然性があります。