Webサイトなどのサービスを利用する場合、ID・パスワードを入力して認証を行うことがあります。
中には、定期的にパスワードの変更を求められたり、英数字・記号混じりを必須とする複雑な形式のパスワードの設定を求められたりします。
最近の例では、SBI証券が、令和6年4月末までに複雑なパスワードに変更するようにユーザーに求めています。
しかし、こういったことが、さらにパスワードを危険に晒しているように思います。
パスワードの管理が危険になる理由
通常、ユーザーは、ショッピング、ゲーム、銀行、証券、クレカなど、いろいろなサイトのサービスを利用しています。会社の社内システムでも認証を行うでしょう。
これらのサービスで「ユーザーの記憶に頼る」パスワード認証を行う場合、大抵の場合、ユーザーはそのパスワードを覚えきれません。
そうすると、ユーザーは、記憶から消えても大丈夫なように、以下のような行動を取るようになります。
- 付箋紙などにID/パスワードを書いて、PCやなどに貼り付けておく
- PCやスマホのメモアプリなどにID/パスワードをメモする(クラウドで保管する)
- Webブラウザなどに覚えさせる。
これではいくらパスワードを複雑にしても、返って誰かに見られるようになってしまいます。
また、挙句の果てにはフィッシングサイト(総務省サイト)に引っかかってしまい、上記でメモしたID/パスワードを入力して盗まれてしまう(結果、不正アクセスを許してしまう)こともあります。これは、パスワードを複雑にしても無力であることを示しています。
サービス提供側は、パスワード管理はユーザーの責任と割り切っているかもしれませんが、こういった提供者はセキュリティに関する意識が低いと思っています。
安全に利用するには、他要素認証(Wikipedia)やパスワードレス認証の方法もあるため、こういったユーザー認証の安全を整備する責任がサービス提供側にはあると思います。
おわりに
煩雑なパスワード管理から早く開放されたいものですね、
▼関連記事
コメント