パスワードレスな未来？

毎年 5 月に祝われる世界パスワードの日に、今年は3 大テクノロジー企業（Google、Microsoft、Apple）がパスワードに取って代わる新しいテクノロジーの計画を 発表 したというニュースが舞い込んできました。

この標準は、FIDO Alliance がWorld Wide Web Consortium (W3C) と共に策定しているもので、パスワードの代わりにスマートフォンベースの認証を優先しようとする極めて重大な試みです。少なくともユーザーの立場からはそう映ります。

しかしながら、「パスワードの死」は、約 10 年間議論されていていることも留意すべきことでしょう。絶望的に信頼できないユーザー認証の手段をなくそうというこれまでの試みは、事実上無駄に終わりました。パスワードは依然として、私たちについて回っています。このブログでは、新しい FIDO/W3C 標準について論じたいと思いますが、まずは明白な事実を再びお話しすることから始めます。パスワードの何が問題なのでしょうか？

パスワードの問題点

パスワードの一番の欠点は、非常に簡単に盗まれてしまうという点です。インターネットが普及した当初、コンピューター間のほぼすべての通信は暗号化されておらず、パスワードは平文で転送されていました。カフェ、図書館、交通機関などで公共のネットワークアクセスポイントが急増し、暗号化されていないパスワードを攻撃者が気付かれずに傍受できることが大問題となりました。

しかし、2010 年代初頭から半ばにかけて、大手インターネットサービスでハッキングが続発しメールアドレスやユーザーパスワードが大量に盗まれたことで、この問題は爆発的に広がりました。10 年前のあなたのパスワードは、パブリックドメインのどこかで広まっていると言っても差し支えないでしょう。信じられない話ですか？  HaveIBeenPwned という役に立つサービスがあるのでチェックしてみてください。

HaveIBeenPwnedを使うと、あなたのパスワードが漏洩しているかどうか確認できます。パスワードが 10 年以上前のものである場合、ほぼ確実に漏洩しているでしょう

もちろん、最近では、漏洩したものの中に平文のパスワードはあまり含まれなくなりました。多くのインターネットサービスでは、ユーザーの機密情報を暗号化せずに保管することは大きな被害の原因となることは認識されています。そのため、パスワードのハッシュ化（つまり、暗号化した形式での保管）が慣例となってきています。

ここでの問題は、パスワードが単純である場合、考えられるすべての組み合わせの総当たり攻撃や 辞書攻撃 によって、暗号化されたデータベースからのパスワードの抽出が依然として可能であることです。元のパスワードが「secret」または「123123」のようなものであった場合、ハッシュ化されたパスワードの復号は非常に簡単です。パスワードの第二の問題は、覚えやすくするために多くの人が使用しているパスワードが非常に脆弱であり、たとえ暗号化されていたとしても、漏洩したデータベースから簡単に抽出できるということです。

シンプルさや利便性を求めることは、パスワードに関する第三の問題、つまり、さまざまなアカウントやサービスで同じパスワードを使いまわすことにつながります。登録したことさえ覚えていない古いオンラインフォーラムからデータが漏洩し、同じパスワードを使っていたためにメインのメールアカウントを失う結果につながることがあります。

パスワードを補助する技術

もちろん、この問題は今に始まったことではありません。そのため、ほとんどのサービスはもはや単一のパスワードに頼るのではなく、いくつかの種類の多要素認証を使用しています。インターネットサービス、ソーシャルネットワーク、オンラインバンキングなどにログインする際は通常、認証情報の入力後にワンタイムコードが求められます。このコードは、テキストメッセージで送信されたり、スマートフォンの銀行アプリや Google Authenticator のような 多要素ユーザー認証用の特別なアプリ に配信されます。非常に複雑なシステムでは、コンピューターの USB ポートに差したり、Bluetooth や NFC を介してスマートフォンに接続するハードウェアキーを使用します。

場合によってはパスワードは全く必要ありません。たとえば、Microsoft アカウントにログインする際、メールでワンタイムパスワードが送信されます。Telegram メッセージアプリは、初期設定としてテキストメッセージで送信されたワンタイムコードに基づいて認証を使用し、パスワードは全く必要ありません。（ですが、セキュリティをさらに強化するための手段としてパスワードは推奨されています）

しかし、ほとんどの場合、パスワードは認証のバックアップとして存在しています。ですが、テキストベースのパスコード（非常に一般的でユーザーが理解しやすい 二要素認証の形式）だけに頼るのも、多くの理由からあまり良い選択肢ではありません。要するに、将来パスワードは存在しなくなると長らく理解されてきたのです。ついに、その未来が近づいてきたように思えます。

FIDO/W3C が考えるパスワードレスの認証

新しいパスワードレス認証標準では、パスワード（というよりパスキー、秘密鍵および公開鍵のペアの暗号鍵）は、ユーザーがもはや目にすることのない技術的要素となります。強力な独自の鍵とパワフルな暗号化技術の使用が可能になることで、サイバー犯罪者による窃取行為が困難になり、一つのアカウントがハッキングされてもそれ以上のアカウントは失われず、フィッシング詐欺師に「秘密」を漏らすことは不可能になります。

この認証標準では、ユーザーにとってはスマートフォンからソーシャルネットワーク、メールアカウント、オンラインバンキングサービスへのログインが確認されているように見えるでしょう。PIN や顔認証、指紋認証でデバイスのロックを解除し、「取引」を確定するスマートフォン決済とよく似ています。唯一の違いは、支払いの代わりにアカウントへのログインを行うということです。その際、正常なロック解除によって、あなたがあなたであることが確認されます。

さらに、FIDO が策定している標準には、複数のデバイスでBluetooth 認証を行う機能が含まれます。たとえば、ノートパソコンでアカウントにログインする際、近くに信頼できるスマートフォンがあることを「認識」できれば、より速くログインできます。この優れた認証システムは、対象外のプッシュホンを使用する人以外のユーザーの大多数の役に立つものです。3 大インターネット企業のサポートのおかげで、この機能は近い将来、一般的になるでしょう。では、セキュリティ面では大丈夫なのでしょうか？この新しい技術の長所と短所を見ていきましょう。

パスワードレス認証の長所

Google、Apple および Microsoft によるサポートのおかげで、主要サービス（Gmail、YouTube、iCloud、Xbox）およびすべてのデバイス（iOS、Android、Windows）の両方が、まもなくパスワードレス認証に移行し始めると信じられる根拠が生まれました。標準は統一されておりオープンであるため、認証はあらゆるデバイスで同じように機能するはずです。さらに、一つのデバイスから別のデバイスへ切り替えられるオプションも実装される予定です。iPhone からSamsung Galaxy に変えたとしても問題ありません。新しいスマートフォンをログイン認証デバイスとして指定できます。

新しい手法の主なメリットは、フィッシングを極めて難しくさせるということです。従来のパスワードの窃取は、銀行などの偽 Web サイトを作成し、被害者をそこへ誘い込むことで行われます。そこでユーザーがログイン情報（二要素認証から構成されている場合もあります）を入力してしまうと、攻撃者が盗んだ情報で銀行口座にアクセスできるようになります。新しい標準は、ユーザーの認証に加えてサービスそのものの信頼性も確認します。他人の Web リソースで認証のリクエストを送信するだけでは機能しなくなり、パスワードの漏洩がユーザーにとって脅威になることもなくなります。

最後に、新しいシステムは単純で使いやすいものになりそうです。適切に実装されれば、既存のアカウントのパスワードからの移行も非常に簡単です。また、スマートフォンで予定されている OS レベルのサポートには、アプリのインストールさえ必要ありません。スマートフォンでアクセスしたいサイトに移動し、ID を入力してリクエストを確定するだけです。

パスワードレスが解決できない問題

厳密に言えば、問題と考えるべきではないかもしれませんが、多くの人は必ずこのような質問をします。誰かが自分の「信頼できる」スマートフォンを手にして、すべてのアカウントへのログインを承認したらどうなるのでしょうか？答えは非常に単純です。現実的なセキュリティモデルでは、突破できないソリューションはありません。どんなソリューションでもハッキングされる可能性があります。ここで問題となるのは、侵入者がそれにどんなリソースを費やすかということです。結局のところ、128 文字のランダムなパスワードを自分の頭の中だけに留めていても、それを引き出せる実証済みの方法は存在します。

個人のスマートフォンをハッキングし、アカウントへのアクセス権を得ようとする試みは必ず存在します。しかし、そのようなハッキングは注目度の高い個人を狙う、一種の小規模な攻撃となります。マスマーケット、つまり現実の日常的な脅威となると、スマートフォンを盗んでその中のデジタルコンテンツを利用するよりも、パスワードの窃取は桁違いに広く行われています。そして、新しい技術は、まさしくこの問題の解決を目指しています。

生体認証が大量に導入されたときにも、似たような疑念の声が上がっていたことを思い出してください。当時は、誰かが自分の指紋を盗み（最も極端な場合、指を切断する）、スマートフォンのロックを解除するのではないかと多くの人が心配していました。前述の HaveIBeenPwned の作成者であるTroy Hunt は昨年、それに関連する記事を執筆し、現実的なセキュリティモデルでは、生体認証はパスワードよりも強力だと述べました。

パスワードレスによるアクセスが対処できない現実的な問題は、スマートフォンの紛失です。確かに新しい標準では、一つのデバイスから別のデバイスへの認証システムの転送が可能になります。たとえば、古いスマートフォンと新しいスマートフォンの 2 台のデバイスを持っている場合は、このような転送は非常に簡単です。古いスマートフォンを紛失した場合、何らかのバックアップ手段で自分が自分であることを証明しなければならないのは間違いないでしょう。しかし、その手段がどのようなものであるかは、まだ明らかになっていません。対象となるサービスの設定によって異なりそうです。

結論として、このような問いかけをすべきでしょう。新しいシステムによってユーザーは、同一の Google や Apple のアカウントの機能により依存するようになるのでしょうか？ Google アカウントのブロックにより、すべてのオンラインリソースへのアクセス権が 失われることが一般的になるのでしょうか？標準がオープンであると仮定しても、スマートフォンのオペレーティングシステムや、言うまでもなくインフラストラクチャは、そこまでオープンではありません。

（やや）明るい未来

疑い深い人でさえ、パスワードがパスワードレスよりも優れていると論じることは困難でしょう。時代遅れのパスワードの概念は、長い間、見直す必要があるとされてきました。FIDO のパスワードフリーの標準により、多くの物事が正されそうですが、Google、Apple、Microsoft など実装する側への依存も大きくなります。これら企業による導入、実装が上手くいけば、私たちのデジタル生活はより快適で安全になるでしょう。しかし、それは一夜にして実現することはありません。パスワードは今日のインターネットに深く根付いているため、新しく改良されたシステムが実装されても、パスワードが完全になくなるまでは長い年月がかかることでしょう。