<後編>固定パスワードの代わりに何を選ぶか
前回の「今年こそ『固定パスワード』をやめよう!(前編)」(※記事にリンクしてください)では、組織のシステム管理者に向けて、固定パスワードをやめるべき理由を紹介しました。
後編の今回は「固定パスワードの代わりに何を選ぶのか」ということで、代替となる認証方式について考えていきます。
認証方式選択のポイント
認証方式を選ぶ際の、主なポイントは次の通りです。
(1) 安全であること
(2) 運用管理がしやすいこと
(3) 導入/運用のコストがリーズナブルであること
(4) 認証の作業が簡単であること(利用者のストレスを増やさない)
などいくつかのポイントがあげられます。
この中で、 (1)の安全性については、最優先の絶対条件ですが、安全にし過ぎると他のポイントにとってマイナスになってしまいます。
(1)(2)(3)(4)のどれを、どのくらい重視して、どのようなバランスで構築するのか、それぞれ会社ごとの事情によって判断することになります。
では、固定パスワード以外の候補には何があるのでしょうか。
まず、以前よりVPNへの認証において、パスワード以外の手段として採用されてきた「ワンタイムパスワード」が挙げられます。
そして、これからの認証方式として、昨年の記事でもよく取り上げた、「生体認証」が挙げられます。
では、この両者について見ていきましょう。
生体認証
スマホのロック解除などでお馴染みの指紋認証や顔認証をはじめ、銀行ATMで圧倒的な導入シェアを誇る「静脈認証」、実用的なレベルにまで開発が進んできた「虹彩認証」など、様々な生体認証が登場し、いろいろな場面で使われ始めています。
パスワード認証や、スマホやハードウェアトークンを使ったワンタイムパスワード認証と違い、利用者が「忘れることがない」「持ち歩きが必要ない」「なくすことがない」という点が生体認証の最大の特徴です。
しかし、生体認証には、生態情報の読み取り装置が必要です。これらの読み取り装置が端末に付属しているのか、それとも外付けの読み取り装置を使うのか、というハードウェア的な検証も必要になります。
現状が読み取り装置がない状況だと、読み取り装置が付属している端末を新たに用意するか、読み取り装置を別途で用意しなければなりません。別途用意するとなると、導入・運用コストがかかるうえに、「持ち歩きが必要ない」というメリットも失われてしまうでしょう。
以下は、通常の利用においては、問題にはならないかもしれませんが、一応、知識としてお知らせする内容です。
・本人認証率100%ではない
生体情報を読み込んで、登録されている本人かどうかを認証する場合には「本人拒否率(本人なのに認証ができない)や他人受け入れ現在の生体認証では「本人認証率100%」ではありません。
生体情報を読み込んで、登録されている本人かどうかを確認する際に「本人拒否率(本人なのに認証ができない)」や「他人受け入れ率(本人ではないのに受け入れてしまう)」が、限りなくゼロに近くても、完全なゼロではない、ということです。
これは、生体情報を読み取る際の状況が毎回異なるため、100%にしてしまうと、読み取り失敗が何度も起こったり、確認に時間がかかったりするため、実用的ではなくなってしまうことが原因です。
・怪我などで、喪失する可能性がある
生体認証で登録した部分が、怪我や病気などで失くなってしまったり、登録時とは変化してしまうことがあり得ます。そうそう起こることではないですが、起こったときにはどうするかを考えておく必要があります。
これらの「100%ではない」ことと「喪失の可能性」があるため、アクセスできなくなると本当に困るシステムに、生体認証だけでしか認証できない環境にしてしまうのはリスクがあります。
万一の時のために、他の認証方式もサブで用意しておくべきです。
組織の認証においても、生体認証が使えなくなった際には、サブの認証方式に切り替えられるようにしておくべきでしょう。
さて、生体認証を語るうえでよく、「生体認証用のデータが盗まれたら不正アクセスし放題になってしまうのでは」という話があります。しかし、これは現時点では杞憂です。
サーバ側に登録されている生体認証用のデータは画像ではなく、身体的特徴を数値化したデータです。このデータを見て、立ちどころに元の生体情報が分かるというものではないのです。
盗んだ側は、このデータを解析して、元の生体情報を予測し、本物そっくりに再現する必要があります。これを実現する技術を犯罪者側が持っているとは思えません。(国家レベルの話だと・・・?)
もし、顔や指紋を再現する技術があるのであれば、わざわざサーバからデータを盗んで解析する必要はありません。本人の顔を撮影したり、触ったところから指紋を取ったりするほうが楽なのではないでしょうか。(虹彩や静脈だと困難ですが)
むしろ、顔認証や指紋認証は、パスワードを「顔に貼っているようなもの」、「指でそこかしこに貼り付けていってるようなもの」という認識でいるべきです。現在は簡単に再現する技術がなく、手間がかかるのでコピーされませんが、再現技術が発達した未来においては、生体認証は、体の表面にある部分を使うものから、だんだん危険視されていくかもしれません。
データ流出の危険性については、不正アクセスの心配よりも、プライバシーの問題のほうが、現時点では大きな課題です。特に顔認証において。
先ほども書いたように、生体認証用のデータでは個人をすぐに特定できるものではありません。しかし、もし一緒に顔写真も登録されていたら、すぐに顔が分かってしまいます。そもそも顔写真データは認証には必要ないので、保存しておく必要はありません。顔写真も一緒に保存しておくような運用は、要らぬリスクを抱えることになります。
生体認証のメリットは、まず認証のスピードや簡便性が挙げられます。
瞬時に認証が完了する、という点では、他の認証方式の追随を許しません。短時間に大勢の人の入退室を管理したりする場合には、圧倒的に生体認証が有利になります、また非接触式の顔認証や虹彩認証であれば、不特定多数を認証する際の衛生面の問題もクリアできます。
次に認証方式「ワンタイムパスワード」について見てきましょう。
ワンタイムパスワード
ワンタイムパスワードは、一定時間もしくは認証の都度にパスワードが変わる認証方式です。パスワードが変わっていくことで、総当ワンタイムパスワードは、毎回同じ(つまり「固定」の)パスワードを入力するのではなく、毎回異なるパスワードを入力する方式です。わざわざ「固定」パスワードと書いてきたのは、この「ワンタイム」パスワードと対比するためです。
パスワードが毎回変わるため、総当たり攻撃やパスワードリスト攻撃などのパスワードに対する攻撃は意味がありません。
銀行のオンラインバンキングのほとんどが、ワンタイムパスワードを導入していることも、高い安全性と信頼性の裏付けと言えます。
このワンタイムパスワードには、変わっていくパスワードを表示するものによって、「ハードウェアトークン」と「ソフトウェアトークン」の2種類に分けられます。
歴史的にはまず、ハードウェアトークン方式が生まれました。専用のハードウェアにパスワードを表示する方式です。
このデメリットは、ハードウェアであるがゆえに、その紛失や盗難、持ち忘れなどのリスクと、それらが発生したときにトークンの再発行なども含めて導入から運用にかかるコストと手間が大きいことが挙げられます。
これに対して、スマホの普及と共に登場したのが、スマホのアプリにワンタイムパスワードを表示するソフトウェアトークンです。
これは利用者がスマホを持っていることが前提となっています。ハードウェアトークンのようにハードウェアの導入と管理の手間はありませんが、スマホを持っていない人は使えません。スマホの紛失/盗難、持ち忘れのリスクがあることは、ハードウェアトークンと同様です。スマホにはロック機能があるだけ、盗まれたり、拾われたりしても、すぐにパスワードを見られるわけではないので、やや安全と言えます。
これらに対して、パスロジでは「トークンレス・ワンタイムパスワード」を提供しています。
トークンレス・ワンタイムパスワード「PassLogic」
パスロジの製品「PassLogic」は、その名の通り「トークンを使用しないワンタイムパスワード」を提供します。
ハードウェアトークンやソフトウェアトークン、または読み取り機のような、認証する端末以外の機器を必要としないので、導入から運用まで非常にシンプルでコストもリーズナブルです。
認証は、端末のWebブラウザで行ないます。認証端末がPC、タブレット、スマホのどれでも大丈夫ですし、端末のOSの種類やブラウザの種類も問わないので、幅広い環境に対応します。また、リモートデスクトップ利用時にアクセス先のWindows PCへのサインインにも対応しています。
弱点は、生体認証のように、瞬時に認証完了というわけにはいかず、キーボードでの入力必要という点です。それでも覚えている固定パスワードを入力するのと同等の手間で、安全な認証ができるのは大きなメリットです。
また、原則はトークンレス・ワンタイムパスワードによる認証をお勧めしますが、ソフトウェアトークンやハードウェアトークンにも対応しています。クライアント証明書を発行して認証できる端末を限定することも可能です。トークンレス・ワンタイムパスワードと併用すれば二要素認証も実現可能です。
このトークンレス・ワンタイムパスワードの仕組みや、PassLogicが持つ認証プラットフォームとしての「シングルサインオン」機能など、くわしくは「PassLogic製品紹介ページ」をご覧ください。
PassLogic製品紹介ページ
こうしてみると、手前味噌ながらトークンレスでワンタイムパスワードを実現できるPassLogicが優れているように思えてくるのですが、弱点やデメリットもあります。
最終的には様々な認証製品を比較検討して決めていただければと思いますが、固定パスワードから脱却する際には、PassLogicも含めてご検討ください。
今回の記事では、生体認証とワンタイムパスワードについては紹介しましたが、今回紹介せず、インターネットサービスの二段階認証として採用され始めた方式として「SMS認証」があります。
SMS認証の危険性について、次回記事にて紹介したいと思います。
ぜひ今年こそ、固定パスワードをやめませんか。