authentication

Googleがパスワードの廃止, 物理デバイスによるセキュリティを研究開発中

次の記事

Sonyがアメリカ本社のビルを11億ドルで売却

nexus-key

Googleの最新の研究が、われわれ全員がおそらく知っていることをあらためて確認している。ペットの名前に数字をいくつか付けたようなものは、今どきパスワードとしては無力である。その研究はIEEEのSecurity & Privacy Magazineの今月号で発表されるが、Wired誌がスクープしており、そこには物理的なデバイスにそのほかの画面ロック方式を組み合わせたセキュリティの方法がいくつか提案され、パスワード処理を単純化するだけでなく、よりセキュアにすることが目指されている。

たとえば、そこに説明されているスマートフォンに埋め込むチップは、今のスマートフォンの普及率の高さを考えると、かなり便利だろう。このほか、“指輪を使う”という一風変わったアイデアもある。ぼくは16歳のときピンキーリングをしていたと思うが(でもそれは単なる若気の至りだった)、個人的には派手に目立つ物はいやだけど、何かを身につけるというアイデアそのものは良いと思う。

しかし今Googleが実際に取り組んでいるのは、YubiKeyとの提携による暗号生成カードの研究開発だ。ユーザがそれをコンピュータのUSB端子に挿入すると、GoogleのWebアカウントにログインできるようにプログラミングしておく。ソフトウェアのダウンロードやインストールは不要で、Chromeのそれ対応のバージョンを使うだけだ。これにGoogleの認証/認可サービス*を組み合わせると、パスワードという面倒なものが要らなくなるし、さらに高度な“自分が本物の人間であること”を証明するCAPTCHAのようなものも要らない。つまり、これまでのWebアクセスに必ずあったハードルが消える。〔*: 認証(authentication), アクセス者が本物のその人本人であることのチェック; 認可(authorization), その人にアクセス資格/権利があることのチェック。〕

Google以外にも同様のシステムで効果を上げているところがある。たとえばBlizzardのBattle.net Authenticatorは、ハードウェアデバイスまたはAndroid/iOS用のアプリを使って、ユーザにその時かぎりの第二パスワードを提供し、それを既存のパスワードと組み合わせて使わせる。Googleのユーザも今すでに、携帯に送られてくる一時的パスワードを使って、このような二段階認証を利用できる。ただし、この方法は現状ではフィッシング対策が完璧ではなく、ユーザがだまされて贋(にせ)サイトにアクセスし、個人情報などを与えてしまうことを、完全に防ぐことはできない。

物理デバイスによるダイレクトな認証には、フィッシングを寄せ付けない利点がある。処理が単純だから、セキュリティ要件が軽いところならパスワードを省略できるし、プライバシー保護のためにパスワードを併用することもできる。「物」だから盗難や紛失のおそれはあるが、その対策は可能だし、マルウェア被害などに比べると犯人の同定も楽だ。

インターネットのセキュリティは、二段階認証の導入などによって、前よりも向上しているが、それまでの、自分の犬の名前を入力したり、あるいは完全に手ぶらでアクセスできる方式に比べると、相当面倒な処理になっている。新たに登場してきたハードウェアベースの認証方式は、何ごともシンプルだったWebの古き良き日を取り戻してくれるのかもしれないが、普及のための努力がたいへんそうだ。Googleの、企業としての今の大きさなら、広く行き渡る影響力を発揮できそうだが、しかしWired誌によると、Googleが考えているのは、Googleのサービスに限定されないもっと普遍的なデバイスベースの認証プロトコルだ。その標準規格は、それをサポートするWebブラウザを必要とするだけだ。オープンな規格があって、それをGoogleが支えるという状態、それこそが、インターネットのセキュリティの次の進化に必要な条件だろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

“Googleがパスワードの廃止, 物理デバイスによるセキュリティを研究開発中” への1件のコメント

  1. foo@bar.baz より:

    >「物」だから盗難や紛失のおそれはあるが、この時点であまりいいとは思えない。
    端末機に、ネットワークから独立したデバイスが備え付けられていて、それを電卓のように
    使うのがいいと思う。
    ATMの横に付いてる電卓のように。

    ただ周囲から覗かれたりするから、それは擬似着信→ワンタイムパスルートで種pwを設定するとか、
    そういう工夫は要ると思う。

    スマホやタブレなら個人的に汎用pw電卓を購入しておいて持ち歩くでも、
    煙草の火を借りるごとく必要な時に他人から借りるでも、お好きなように。

    自分はここまでやったが、これ以上は無理そう。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中