Googleの取り組み:パスワードが使われなくなる日は来るか

Googleは、ユーザーにパスワードを使わせない方法を模索しています。

google_password

セキュリティの世界において、パスワードは厄介者と化してきました。ユーザーのアカウントを守る能力が実際には欠けていたり、攻撃者がパスワードを破ったり迂回したりすることがいとも簡単にできてしまうため、パスワードは敬遠されてきているようです。Webで最も力を持つ企業であるGoogleは、ユーザーにパスワードを使わせない方法を模索しています。その主な理由は、ハードウェアベースの認証方法に取り組んでいるためです。

Googleの研究者たちはすでにかなりの期間、認証方法の改善に取り組んできました。そしていくらかの成果を上げています。最も成功している例に、同社がGmailユーザー向けに導入した 2 段階認証があります。このオプションでは、Gmailアカウントにアクセスするために、メインのパスワードだけでなく、モバイルデバイスにSMSで送られたワンタイムコードを入力する必要があります。この方法では、Gmailアカウントをハッキングしようとする攻撃者が乗り越えなければならないバリアがもう1つ築かれることになるため、良い改善だといえます。

しかし、2段階認証システムも結局のところ、パスワードに依存しています。Googleはパスワードの重要性を完全になくすとまでは言わないものの、大幅に下げる方法を模索しています。Wiredの報道によると、同社はユーザーがハードウェアトークンを使用することによって、Googleアカウント(Gmail含む)へのアクセスを瞬時に認証する方法を開発したということです。このシステムでは、認証用のワンタイムパスワードを生成する小さなスマートカードを使用します。

パスワードのセキュリティは何十年ものあいだ問題となっており、多くの企業が解決に取り組んできました。しかしどの企業も、パスワードに代わるものの開発に成功していません。しかしこの問題に取り組んできたどの企業も、Googleが持っているようなリーチや影響力を持ってはいませんでした。したがって、このアイデアが多くの人々に広がる可能性は非常に高いといえます。ただし、パスワードが使われなくなる日がすぐにやってくるという意味ではありません。

Kaspersky Labのチーフマルウェアエキスパートの アレクサンドル・ゴスチェフ は、次のように述べています。「Googleはまだ、何らかの認証方法をパスワードの代わりとして使用するつもりだと表明したわけではありません。同社の従業員の中には、他の認証システムにどれほどの安全性の違いがあるかを見たいだけという人もおり、USBトークンはそのような試みの 1 つです。どちらかといえば調査のようなものでしょう。ただし、これがGoogleのサービスにどの程度適しているかははっきりしていません。そのようなトークンは企業ネットワークでは広く使われていますが、無料のオンラインメールアカウントを保護するために使うというのは行き過ぎでしょう。友達の持っているデバイスやインターネットカフェにある機器など、どのようなデバイスでもメールをチェックできる、という状況が制限されてしまうため、ユーザーにとって最も便利なソリューションとは言えません。その上、テキストメッセージでの2段階認証のように、セキュリティを高める他の優れた方法もあります。これはすでにGmailで使われています」

Googleが検討しているような手法が広まるまでにはまだ相当の時間がかかりそうですが、ユーザーの抱える厄介なセキュリティの問題について、研究者たちが解決策を見つけようと取り組んでいるのを知るのは喜ぶべきことです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?