こんな記事が流れていました。
Chromeの拡張機能Window Resizerがマルウェアを含んでいたことが発覚 - GIGAZINE
この拡張は今使ってはいないのですが、1年ほど前に使っていた記憶があったため、念の為に重要なサービス(決済絡みや生活インフラ関連)のパスワードを片っ端から変更することにしました(こっそりログインされている時対策)。作業自体は1時間ほどなんですが、新しいパスワードを考えて、忘れないように覚えて、各サイトにログインして変更して、と結構疲れますね・・。
生体認証だけで認証できればもっと楽できるのでしょうけれど、当分はパスワード認証が続くと思うので、その中でウェブがどういう仕組だと、ユーザが楽かつセキュアな形で認証ができるかなとちょっと思いついたものをメモしておきます。
策A:一般ユーザとスーパーユーザ
現状のパスワード認証の仕組みだと(二段階認証など何らかのセキュリティ施策がない場合は)漏れてしまうと即悪用される恐れがあります。
なので、フェイルセーフとして万一漏れた時を考えて、パスワード認証済の段階では、決済やデータ消去など重要度が高いと思われる動作ができないようになっていて、そうした動作を行うためにはワンタイムパスワードなど二段階認証が必要になる、という仕組みは良さそうです。二段階認証を経て初めて、そうした操作ができるようになると。Unixの一般ユーザとスーパーユーザからの発想です。
ただ、SMS認証だと携帯電話を持っていること前提なので、持っていない人向けにどう認証するか(代替メールアドレスにワンタイムパスワードを送る?)という話も考えないといけないですね。
策B:デバイスにパスワード作成/管理を一元化
セキュリティを考えると、ユーザは各サービス毎にパスワードを生成して、しかもそれは複雑で推測されにくいものが望ましいです。ただそれだけだとユーザが忘れちゃう可能性もありますから、完全に忘れないようにユーザ自身も覚えられるものであることが求められます。でもそれってそもそも矛盾していて無理じゃない?と思うのです。
じゃあ、いっそのことユーザが全くパスワードを覚えなくても良い仕組みにできないでしょうか? ブラウザにはパスワードを保存して、次に認証ページにアクセスした時にいちいち入力しなくても勝手に入れてくれる仕組みがありますよね。それをもう少し応用して、デバイスで全てのパスワードを生成して、記憶し、自動的にログインできるような仕組みはアイデアとしてあるかなあと。
こうすると、ユーザがパスワードのことを一切考える必要がなく、かつパスワード自体はサービスごとに異なる、複雑で破られにくいパスワードにすることができるので、セキュリティ向上も期待できるんじゃないでしょうか。
具体的には、iCloudキーチェーンの発展形としてイメージしています。ユーザはiCloudパスワードさえ認証できれば、どんなサービスにもワンボタンでログインできる、という感じです。また、仮にユーザ登録をしていなかったとしても、メール情報などを渡して、(それ以上の情報が必要なければ)あたかも登録をしていたかのようにすぐにログインできるというメリットもあります。iCloudキーチェーンがマスターキーで、それがあればいろんなドアの鍵を作ったり開けてたりできるわけです。
とはいえ、iCloudキーチェーンは現状Mac/iOSデバイス限定のテクノロジーなので、クロスプラットフォーム運用を考えれば、他のOSでも使えるようにツール提供をしてもらう必要がありますね(OSレベルでの組み込みになるでしょうし、あんまり期待できなさそうな感じですけど)。
また、iCloudパスワードが漏れると死ねますので、二段階認証などのセキュリティ施策はもちろんのこと、策Aと組み合わせて運用することが必要そうです。
commentsコメント