開閉ボタンユーザーメニューユーザーメニューコンテンツ
ログインITと経営の融合でビジネスの課題を解決する
ビジネス+ITとは?
ログイン
新規会員登録
メルマガ登録
ビジネス+ITとは?
営業戦略コスト削減組織改革生産・製造危機管理コンプライアンス省エネ・環境対応業種・規模別基幹系情報系運用管理セキュリティネットワークモバイルハードウェア開発関連ジャンル
ヤフーがパスワード廃止、人類はパスワードから解放されるか?
SMSワンタイムの利便性とセキュリティ
5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。
フリーランスライター 中尾真二
フリーランスライター 中尾真二
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。
<目次>- パスワードの限界、追い打ちをかけるリスト型攻撃
- ヤフーがパスワードなしでログインできるサービスを開始
- パスワード忘れ・再発行手続きよりは簡単
- 課題はSMSプロトコルの脆弱性
- GAFAより先行判断をしたヤフー
パスワードは、長年その欠点とわずらわしさを指摘されながら、総合的に管理しやすく、システムへの実装もしやすいのも事実で、パスワードに代わる決定打もないため、必要悪のように使い続けられている。生活や業務のネット依存が拡大し、必要なパスワードの数は人間の管理能力を簡単に超えてきている。 にもかかわらず、サービス側は使いまわしや覚えやすいフレーズの利用を禁止、制限したり、定期的な変更も要求してくる。加えて攻撃の高度化により、複雑なパスワードルールにユーザーはさらに翻弄されることになる。ユーザーは、Webブラウザのセッション保持機能やパスワード管理ツールを駆使し、安全と利便性についてなんとか折り合いをつけるのがやっとだ。 そこに、何億、何十億という単位のアカウント情報が、ダークネット上では普通に取引されていることが、改めて報じられるようになった。もはや、メジャーなサービスのユーザーアカウント情報は、漏れている前提でセキュリティを考えなければならない状況だ。 漏えいしているアカウント情報は、重複しているものや古い情報のもの、捨てアカウントなども含まれているため、漏えい件数を額面どおりとらえる必要はないが、放置していい問題でもない。特に日々大量の不正アクセスを受けている大手ポータルサイト、ECサイト、ソーシャルネットワークにとっては抜本的な対策に迫られているといってよい状況だ。 ヤフーが「スマホからのログインでパスワードを無効にできるようにした」と発表したのは、深刻化するリスト攻撃への対策には思い切ったアクションが必要と感じたからだろう。といっても、急に発表された意思決定ではない。 ヤフーが自社サービスの一部について、秘密のパスワードを設定せず、SMSによる認証コードでログインさせる方法を始めたのは、2017年の4月からだ。ショッピングやオークションなど一部のサービスで新規アカウントを設定するときに、ワンタイムパスワードをSMSに送る方式を提供していた。1年ほどの運用を経て、200万IDがパスワードなしの方法でログインしている状況を作り上げた。新規アカウントから施策の状況をみて、「いける」と判断して、既存アカウントも希望者にYahoo! Japan IDのパスワードを無効できるようにしたものといえる。 当面は「スマートログイン」機能を設定しているスマートフォンユーザーを対象に、所定の手続き(オンライン)をすれば、設定されているパスワードを無効にし、登録した携帯電話番号にSMSで送られてくるワンタイムパスワードだけでログインを行うようにできる。ログインが必要なたびに新しいパスワードが発行されるので、パスワード情報のハッキングや漏えいを気にする必要がなくなる。 ログインのたびにSMSを受信してコード入力をする必要があるが、原理的に同じデバイスからのログインは、認証成功時に生成したセッションIDやトークンを利用することで簡略化できる。スマートフォンによるSMSが普及し、無数のサービスのパスワード管理が現実的なものでなくなってきている現在、SMSによるワンタイムパスワード方式は、思っているほど煩雑ではない。 たまにしか使わないサービスが、ログインのたびにパスワードがわからなくて(覚えてなくて)再発行手続きをするなら(たいてい、メールで仮パスワードのログイン作業が発生する)、SMSでそのつどパスワードを送ってもらうのと変わりない。使い慣れてくれば、多くのユーザーがワンタイム方式を評価するようになる可能性がある。SMSの受信に慣れれば、管理しきれなくてパスワードを使いまわしたり、単純なフレーズでログインしているより安全な状態になる。問題となっているパスワードリストを利用した攻撃も無効化できる。 大きなインシデントもなく、市場でヤフーの方式が評価されれば、類似サービスも同様な方法に切り替えてくるかもしれない。【次ページ】 GAFAより先行判断をしたヤフー、しかしSMSプロトコルに課題もお勧め記事
一覧へ
一覧へ
一覧へ
SBクリエイティブ株式会社
ビジネス+ITはソフトバンクグループのSBクリエイティブ株式会社によって運営されています。
Copyright © SB Creative Corp. All rights reserved.
ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!
登録メリット会員登録(無料)
