【IT雑学】パスワード認証にはリスクがある

拙著『ストーリーで学ぶWindows Server』の「はじめに」が、日経BP社のWebサイトで公開されました。2022年5月の出版なので、少し間が空きましたが、これを機会に裏話みたいなものを紹介しようと思います。

「【自著紹介】『ストーリーで学ぶWindows Server』」でも紹介したとおり、本書は私がふだん講義で話しているような余談を多く盛り込んでいます。実際に役に立つ知識ではなくても、技術の背景や裏話、さまざまなエピソードを紹介することで、印象に残り、知識が身に付きやすいと考えているからです。

もっとも、あまりに長い余談はかえって理解を妨げるので、何でも話せばいいというものではありません。『ストーリーで学ぶWindows Server』でも、記述を省略した部分が多々あります。

そこで、このブログでは省略したエピソードも含めて紹介していこうと思います。

パスワードを使った認証にはリスクがある

前回は「良いパスワード」について書いたわけですが、マイクロソフトは「パスワードを使った認証はすべてリスクがある」と考えています。単純なパスワードは「駄目な認証」だというのは当然ですが、複雑なパスワードであっても「マシな認証」でしかありません。

パスワードを使った認証は、キー入力を監視するツール(一種の「スパイウェア」)に弱いですし、偽のWebサイト(フィッシングサイト)の作成も容易です。

そこで、パスワードに加えて別の方法を併用する「多要素認証」を使います。

3種類の認証方法

認証、つまり本人確認の方法には以下の3種類があります。

• 知識による認証: 本人だけが知っている何か(Something you know)
  例: パスワードや暗証番号
• 所有物による認証: 本人だけが持っている何か(Something you have)
  例: 携帯電話やハードウェアキー
• 身体情報による認証: 本人の身体固有の何か(Something you are)
  例: 指紋や顔

これらのうち、2種類以上を使う認証を「多要素認証」と呼びます。パスワードを2つ使うのは「多要素」ではありません。

パスワードが2つあるのは、単に「長いパスワード」と同じことなので、本質的には1つのパスワードと変わりません。長いパスワードが無意味なわけではありませんが、2つのパスワードを同じ場所に保管していたら意味がありません。

日常生活における多要素認証

「多要素認証」はIT用語ですが、実際には日常生活で多く見られます。

たとえば「署名・捺印」は、「署名」という身体情報と「印鑑」という所有物を組み合わせた認証です。実印登録した印影は「本人だけが所有している印鑑」の証拠と考えてよいでしょう。

銀行のキャッシュカードも、「キャッシュカード」という所有物と「暗証番号」という知識の両方が必要です。暗証番号はたった4桁の数字ですがキャッシュカードとセットでなければ使えないこと、数回間違えると無効になることで安全性を確保しています。

こうして考えると、「多要素認証」は日常的に使われている仕組みであり、重要な契約や現金を扱うときには必須になっていることが分かります。

現在、ほとんどのSNSで多要素認証が利用できます。もし多要素認証を設定していない人がいたら、これを機会にぜひ設定してください。

▲「ストーリーで学ぶWindows Server」より(C)濱口由加