[PR]

ネットサービスの認証はなんかこう、ずっと停滞したままっすよね

[PR]

もうIDとパスワードで不正アクセスを防ぎきれるものじゃないんでしょうね。ヤフーの大量情報流出が最近もあったばかりですが、ネット上のセキュリティは不正アクセス技術の新化と拡大についていけてるんでしょうか。

今日も素敵にこんなニュースがあったりするわけですが。
阪急阪神百貨店サイトに不正アクセス – 個人情報流出の恐れ | エンタープライズ | マイナビニュース

[PR]

エイチ・ツー・オー リテイリングは5月29日、阪急阪神百貨店のショッピングサイト「阪急・阪神オンラインショッピング」において、外部からの不正アクセスを受け、利用者の会員情報が不正に閲覧されたと発表した。

やはり現状のパスワードとIDによる認証はもう限界にきてるんでしょうか。

記者の眼 – IDとパスワードに頼る認証は、もう破綻している:ITpro

漏洩したパスワードが不可逆暗号化、つまりハッシュ化したものであっても、安心はできない。例えばMD5やSHA-1といったハッシュ関数で暗号化したパスワードは、GPGPU搭載パソコンによる解析で、実時間内にパスワードを復元できることが明らかになっている。

IDやパスワードに頼る認証は、もう破綻している。ITサービスを運営する企業は、まずその事実を認める必要がありそうだ。「パスワードの使い回しは止めて下さい」と啓発する一方で、認証の仕組みを何ら改良しないとすれば、それこそユーザーへの責任転嫁にしかならない。

パスワードを使いまわすなと言われても割と無理

そもそも、いくつのウェブサービスに僕自身登録してるのか、数えてないんですが、ただの1つも同じパスワードを使用していないという人はどれくらいいるんでしょうか。相当な困難な作業ですよね、全部違うIDとパスワード設定するとか。

パスワード一括管理ツール使えばオーケーなのかというと、使わないよりマシかもしれませんが、そういうパスワード管理ツール自体が被害にあったケースもありますしね。Last Passの場合は、すぐにシャットアウトしたみたいですけど。
LastPassがハッキング被害の可能性、1Passwordに移行しよう – iPod LOVE

しかしながら、1つのところにパスワードを預ける自体がリスクのヘッジができないことになるんで、こういう管理ツールは果たして導入すべかどうなのか迷う部分だし、そこが破られればもっと大きな被害がでるという意味では、問題を増やしている側面もあるわけですよね。なのでネット認証の行く方法はそっちで果たして本当に良いのか疑問。

代替手段は何なんですかね

代替手段として考えられるのは生体認証のようなものですが、これはウェアラブルコンピュータの普及によって本格的に一般化するのかなあ、とも思いますが、どうなんでしょう。生体情報は自分しか持っていないと思うのが普通で、実際よほどのことがない限りそれがコピーされる事態もなかろうとは思いますが、万一生体認証のテンプレートが漏えいしないとも言い切れません。
生体認証システムの光と影 / SAFETY JAPAN [特集] / 日経BP社

それに身体の情報というのは究極の個人情報ですから、それを認証のために照会にかけれるようにするというのは、企業が身体情報を持つことになりますので、それ自体プライバシー懸念を引き起こす可能性が大きいんですよねえ。

とりあえず、情報は洩れるものだ、くらいの意識でこれからはやっていくしかないのでしょうか。
現状、取り得る策はなるべく2段階認証を用いる、パスワードの使いまわしをできるだけ減らすぐらいしかないのがつらい。

そして、こういう情報流出のニュースを見ても慣れちゃってあんまり驚かない自分をなんとか正したいところです。

バイオメトリクス教科書―原理からプログラミングまで
半谷 精一郎 瀬戸 洋一 吉田 孝博 清水 孝一 鷲見 和彦 市野 将嗣
コロナ社
売り上げランキング: 67,265

Posted from SLPRO Blog Editor for iPhone.