「セキュリティリスクが高い」のにパスワードが認証方法として使われ続ける理由とは？

PCやスマートフォンからウェブサービスにログインする時に、個人を証明するための方法としてIDとパスワードを入力するのが一般的です。しかし、ただの文字列を入力するだけである従来のパスワード方式は、流出したり総当たり攻撃で解析されたりとセキュリティリスクが高く、近年は生体認証や物理セキュリティキーを使ったパスワードレスの認証方式が登場しています。それでもパスワードレスへの移行は、遅々として進んでいません。

Why the password isn’t dead quite yet | Ars Technica
https://arstechnica.com/information-technology/2021/07/why-the-password-isnt-dead-quite-yet/

パスワード入力は、セキュリティ上で大きな懸念になることは間違いありません。パスワードの作成や管理は非常にわずらわしいため、結果としてユーザーはパスワードを使い回したり、簡単に推測できるものにしたりします。

実際に、2020年に最も使われたパスワードは「123456」、次点が「123456789」となっており、他人から簡単に予測されたり総当たり攻撃で突破されやすいパスワードが多く使われていることが判明しています。

2020年に最も使われたパスワードは何だったのか？常連に加えて新顔も登場 - GIGAZINE

そこで、他人から侵害されにくいセキュリティとして、顔の形をカメラで認識したり指紋をセンサーで読み取ったりと、生得的で盗みにくい属性で認証を行う生体認証が普及しつつあります。

例えば、携帯電話のロックを解除する方法については、技術の進歩によって、顔や指紋をスキャンする生体認証が当たり前になりつつあります。この生体認証はログインをチェックするためにサーバーにアクセスする必要はなく、携帯電話内部で処理が行われます。また、Titanセキュリティ キーやYubiKeyなど、デバイスとは独立した物理セキュリティトークンを使用して、パスワードなしでログインすることも可能です。こうした物理トークンは、最終的にほとんどすべてのPCやスマートフォンで使えるようになるといわれています。

2021年6月にMicrosoftが発表したWindows 11は、生体認証やPINを使ったパスワードレスのサインインを推奨することを発表しています。また、Googleは多要素認証の規格を策定するFIDO Allianceをけん引する1社であり、オンライン認証のパスワードレス化に積極的に取り組んでいます。さらに、AppleもiOS 15やmacOS Montereyで、パスワードを使わずにFace IDやTouch IDでアカウント認証を行う「パスキー機能」をiCloud キーチェーンに組み込むことを発表しました。

Appleがパスワード不要でFace IDやTouch IDだけでウェブサービスにログインできる「パスキー」機能を開発中 - GIGAZINE

業界全体がパスワードをなくそうと努力していますが、パスワードを完全になくすには2つの主要な課題が残っているといえます。

1つは「パスワードによる認証方式があまりにも世界中で使われすぎている」ということ。FIDO Allianceのエグゼクティブ・ディレクターであるアンドリュー・シキアー氏は「ユーザーは皆、最初に必ずパスワードを設定します。これはもう学習された行動です。私たちがパスワードという真に貧弱な基盤に依存していることが問題なのです。私たちはその依存関係を真っ先に立ちきらなくてはなりません」と述べました。

FIDO Allianceは、パスワードレスの認証規格を推進するために、パスワードレス規格を採用している組織にアンケートを集めてもらい、毎年ユーザーエクスペリエンスを調査し、それを基にユーザー・エクスペリエンス・ガイドラインを発表しました。シキアー氏は「『(制度やシステムを)作れば、人は付いてくる』というのは必ずしも十分ではありません」とコメントしています。

2つ目の課題は、「パスワードレスの認証規格は新しいデバイスしか対応していない」という点です。世界には顔認識や指紋認識などを使ったパスワードレスの認証に対応していない古いスマートフォンやフィーチャーフォンを使っている人は多く存在しており、FIDO Allianceが規格標準の策定を進めているにもかかわらず、ハードウェアがついていけていないというのが現状です。

パスワードレスの導入が普及しても、パスワードからの移行を進めなければいけないという現実的な問題も残ります。パスワード管理ツールの1Passwordは、iOS版やmacOS版で1Passwordのマスターパスワードの代わりにTouchIDやFaceIDを導入していますが、あくまでもパスワードを管理するためのマスターパスワードをパスワードレスにしているだけで、パスワードそのものをFaceIDやTouchIDに置き換えているわけではありません。

1Passwordのチーフプロダクトオフィサーであるアクシェイ・バールガヴァ氏は「パスワードの代替手段についてはかねてから懸念があります。例えば生体認証はユーザー固有の身体的特徴を使うものですが、指紋や顔のデータを攻撃者に盗まれてなりすましが行われるとどうするかという問題が浮上します。パスワードはその都度変更することが可能ですが、顔や指紋は変更することができません」と述べています。

一方、Googleのアイデンティティ＆セキュリティプラットフォーム製品担当シニアディレクターであるマーク・リッシャー氏は「パスワードレスを支えるすべての構成要素は、黎明期に技術愛好家がアクセスしていた時から、メインストリームへと移行できる成熟度に達しています。強力なプラットフォーム・サポートを備え、すべての主要プロバイダで機能し、ユーザーにとってなじみのあるものになっています。これまで、私たち業界はパスワードをなくす方法さえ知りませんでした。今は、時間はかかりますがやり方は分かっています」と述べました。