パスワードなどのアカウント認証手段の現状

Blog Single

様々なサイトやサービスがある現在、必ずと言っていいほどあるアカウント認証。
たいていはIDやメールアドレスやパスワードが必要になりますよね。
私はサイトごとにパスワードを違うものにするようにしているのですが、かなりの確率でどれがどれであったか覚えておりません。(単に物忘れが激しくなっているだけでしょうか・・・)

さて、先日このパスワードに関する記事が投稿されていました。

びっくり! 有名サイトは未だにこんなひどいパスワードを許している

パスワードの形式

最近では小文字・大文字を含む英数字8文字以上なんていう制限がついているサイトが増えてきていますよね。
(反対に今だに制限が全くないサイトもありますが)
この記事では誰もが使用したことがあるであろう有名な10のサイトにおいて、パスワード形式の調査を行なっています。
そこでまず衝撃だったのが、以下の記述。

Amazonは、試したパスワードを事実上なんでも受け付けた。

天下のAmazonが調査対象の中で最悪だったと言っているのです。
Amazonは様々なサービスを展開していますし、重要データも多くあります。
にも関わらずこの調査結果。不安になりますね。。。

またWikipediaに関してはこのような記述が。

Wikipediaは “b” のような一文字パスワードを許している。

え、一文字のパスワードが許容されている?
大文字小文字の英数字だけで考えたとしてもたったの62パターンしかないではないか!
これは恐ろしい。。。
有名なサイトでもこんなに脆弱な形式のまま使用されていることに驚きです。

二要素認証と二段階認証

この記事内では二要素認証についても触れています。
二要素認証とは

  • 本人だけが知っていること
  • 本人だけが所有しているもの
  • 本人自身の特性

この3つの要素のうち2要素を使用して認証することを言います。
身近では銀行ATMでカードと暗証番号の2種類が必要になるケースがこれに当てはまります。
すでにこの認証方法は私たちの日常に取り込まれていますね。

また最近多く見かけるようになったのが二段階認証
パスワードの入力が終わった後に、「昔飼っていたペットの名前は?」のような質問に対する答えを入力することがありますよね?
それがこの二段階認証です。
二要素認証との違いは、「本人だけが知っていること」の一要素でしか構成されていないことです。

個人的にこの二段階認証について思うことは、よくありそうな質問に対する答えを求められるため、知人や家族であれば知っていそうな情報だということです。
それは果たして安全なのでしょうか。

ところで余談として私の体験談ですが、二段階認証のあるサイトにログインしようとした際に、質問の答えが合っているはずなのに通った試しがありません。なぜ。。。

最後に

セキュリティ技術が発達すれば、それを突破しようとするハッカーの技術もどんどん上がります。
パスワード形式が制限されていないからといって単純なパスワードを設定したりすると危険かもしれません。
中にはパスワードがハッシュされていないそのままの状態でデータベースに保管されているなんていうのもあるそうですので、管理は個人で十分に行う必要がありますね。

参考

Posted by Mao Miyaji
千葉にある夢の国を愛して止まない、元「魚のお姉さん」のエンジニア。PHP, TypeScriptメインで、暇さえあれば色々な言語を一かじり。

Other Posts: