• 会員限定
  • 2018/06/01 掲載

ヤフーがパスワード廃止、人類はパスワードから解放されるか?

SMSワンタイムの利便性とセキュリティ

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
5月18日、ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表した。所定のURLで手続きをすると、以降、ヤフーサイトへのログイン、ヤフースマートログイン対応のサービス利用について、パスワードの代わりに登録した携帯番号のSMSで送られてくるワンタイムパスワードを利用するようになる。煩わしいパスワード管理から解放され利便性は高そうだが、セキュリティはどうなのだろうか。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

画像
いよいよパスワードから解放されるのか?
(©taa22 - Fotolia)

パスワードの限界、追い打ちをかけるリスト型攻撃

 パスワードは、長年その欠点とわずらわしさを指摘されながら、総合的に管理しやすく、システムへの実装もしやすいのも事実で、パスワードに代わる決定打もないため、必要悪のように使い続けられている。生活や業務のネット依存が拡大し、必要なパスワードの数は人間の管理能力を簡単に超えてきている。

 にもかかわらず、サービス側は使いまわしや覚えやすいフレーズの利用を禁止、制限したり、定期的な変更も要求してくる。加えて攻撃の高度化により、複雑なパスワードルールにユーザーはさらに翻弄されることになる。ユーザーは、Webブラウザのセッション保持機能やパスワード管理ツールを駆使し、安全と利便性についてなんとか折り合いをつけるのがやっとだ。

 そこに、何億、何十億という単位のアカウント情報が、ダークネット上では普通に取引されていることが、改めて報じられるようになった。もはや、メジャーなサービスのユーザーアカウント情報は、漏れている前提でセキュリティを考えなければならない状況だ。

ヤフーがパスワードなしでログインできるサービスを開始

 漏えいしているアカウント情報は、重複しているものや古い情報のもの、捨てアカウントなども含まれているため、漏えい件数を額面どおりとらえる必要はないが、放置していい問題でもない。特に日々大量の不正アクセスを受けている大手ポータルサイト、ECサイト、ソーシャルネットワークにとっては抜本的な対策に迫られているといってよい状況だ。

 ヤフーが「スマホからのログインでパスワードを無効にできるようにした」と発表したのは、深刻化するリスト攻撃への対策には思い切ったアクションが必要と感じたからだろう。といっても、急に発表された意思決定ではない。

 ヤフーが自社サービスの一部について、秘密のパスワードを設定せず、SMSによる認証コードでログインさせる方法を始めたのは、2017年の4月からだ。ショッピングやオークションなど一部のサービスで新規アカウントを設定するときに、ワンタイムパスワードをSMSに送る方式を提供していた。1年ほどの運用を経て、200万IDがパスワードなしの方法でログインしている状況を作り上げた。新規アカウントから施策の状況をみて、「いける」と判断して、既存アカウントも希望者にYahoo! Japan IDのパスワードを無効できるようにしたものといえる。

パスワード忘れ・再発行手続きよりは簡単

 当面は「スマートログイン」機能を設定しているスマートフォンユーザーを対象に、所定の手続き(オンライン)をすれば、設定されているパスワードを無効にし、登録した携帯電話番号にSMSで送られてくるワンタイムパスワードだけでログインを行うようにできる。ログインが必要なたびに新しいパスワードが発行されるので、パスワード情報のハッキングや漏えいを気にする必要がなくなる。

 ログインのたびにSMSを受信してコード入力をする必要があるが、原理的に同じデバイスからのログインは、認証成功時に生成したセッションIDやトークンを利用することで簡略化できる。スマートフォンによるSMSが普及し、無数のサービスのパスワード管理が現実的なものでなくなってきている現在、SMSによるワンタイムパスワード方式は、思っているほど煩雑ではない。

 たまにしか使わないサービスが、ログインのたびにパスワードがわからなくて(覚えてなくて)再発行手続きをするなら(たいてい、メールで仮パスワードのログイン作業が発生する)、SMSでそのつどパスワードを送ってもらうのと変わりない。使い慣れてくれば、多くのユーザーがワンタイム方式を評価するようになる可能性がある。SMSの受信に慣れれば、管理しきれなくてパスワードを使いまわしたり、単純なフレーズでログインしているより安全な状態になる。問題となっているパスワードリストを利用した攻撃も無効化できる。

 大きなインシデントもなく、市場でヤフーの方式が評価されれば、類似サービスも同様な方法に切り替えてくるかもしれない。

【次ページ】 GAFAより先行判断をしたヤフー、しかしSMSプロトコルに課題も

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます