複雑化するパスワード、多要素認証のリスクとは
アプリやWebサービスにログインする際に、求められるIDとパスワード。一般的なパスワードは推測されやすくすぐに突破されてしまうため、特殊文字を含める、最小文字数が決められている、大文字小文字を織り交ぜるなど、パスワードの要件は複雑化の一途をたどっている。池原氏自身も、複雑化するパスワードの洗礼を受けたという。「最も大変だったのが、社内システムでパスワードの最小文字数が64文字だったこと」と池原氏は振り返る。また使うアプリやWebサービスも増えてくる。数が増えると覚えられなくなってくるため、どうしても使い回したくなるが、今はそれも難しい。そこで頼るのがパスワードを記録してくれるパスワードマネージャーだ。
セキュリティを高めるために、従来のIDとパスワード認証を終えた後に、多要素認証を使う方法も増えている。だが池原氏は「これまでの多要素認証(MFA)にもセキュリティリスクがある」と指摘する。たとえばSMSやEメールを使った二段階認証を採用した場合、携帯電波のカバーエリア外でEメールやSMSが届かないというリスクもある。また、サービス提供側にとっては、サービスがスケールするとEメールやSMSを送るコストが重くのしかかるというリスクもある。前職はクラウドコミュニケーションプラットフォームベンダーで働いていた池原氏は、「お客さまから高いとよく言われていた」と明かす。
さらにユーザーにとってMFAは面倒くさい、煩わしいという体験を与えてしまう。しかもMFAを導入したとしても、「フィッシングサイトで本物のIDとパスワードを入力したことで、一気に突破されてしまうリスクもある」と池原氏。デバイスやアプリのセキュリティなども気にしなければならないなど、「このような懸念がありながらも、私たちは現在もIDとパスワードの世界に生きている」と池原氏は言う。