読者です 読者をやめる 読者になる 読者になる

Lambdaカクテル

ソフトウェア開発者です.玉石混淆です.

パスワード流出を繰り返してもどういうわけかセキュリティトークンが普及しない

はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い - はてなの日記 - 機能変更、お知らせなど

はてなで不正ログインがあったようです。はてなからの流出ではありませんでしたが、他サービスから流出したID×PASSが使われて不正にログインされたようです。

はてなに限らず、この手の不正ログインが発生した時の企業は「パスワードを変更せよ」という警告を流しますが、これもあまり意味は無いでしょう。大抵のユーザにとってIDとパスワードを記憶するのは苦痛です。だいたい、ユーザ名とパスワードでログイン認証・認可を行うスタイルそのものを見直すべき時期・社会に突入しているという事を開発者は自覚するべきではないでしょうか。

そもそもユーザ名とパスワードによる認証が始まったのは、おそらくタイムシェアリングシステムの開発に伴って複数人でコンピュータを利用できるようになってからです。今から数十年も前の話です。それから現在のコンピュータと人間を巡る関係が成立するまでにあらゆる技術革新が起こり、今やコンピュータは特別な人が使う特別な装置ではなくなりました。

この数十年の間に、人間は磁気ディスクや液晶ディスプレイ、インターネット、移動体ブロードバンド通信を開発し、爆発的なコンピュータ性能の向上と歩調を合わせて実用化してきました。しかし今だにユーザ名とパスワードという古典的な機構が存続し、かつては考えられなかったであろう金銭の移動までもがパスワードに依存しているのは、なかなか信じ難いことです。

セキュリティトークンが開発されてからしばらく経ちますが、Yubikeyを始めとしたセキュリティトークンや個人向けのICカードがもう少し普及しても良いのではないかと感じています。規格の足並みが揃わないのであれば、そちらを優先して欲しいです。