アドビの機密漏洩から考える、2ファクタ認証の有効性

最近発生したアドビの機密漏洩によって明らかになったのは、人々は「推測することが困難な」パスワードを選ぶことが非常に苦手であるということだ。しかし安全対策の専門家グレアム・クルレイ(@gcluley)の回答をみると、セキュリティ担当者達も「理解することが簡単な」機密保護を選ぶのが同様に苦手であるらしい。

アドビのトップ10リストを占めるパスワードは明らかに最悪である(トップ50の11位以降も決して良いとは言えないが)。

トップ10パスワード:

1. 123456
2. 123456789
3. password
4. adobe123
5. 12345678
6. qwerty
7. 1234567
8. 111111
9. photoshop
10. 123123

ユーザーが自分用に次のようなヒントをどこかにメモしていれば、推測はさらに容易になるだろう。「1から6」「数字」「123」「654321」「番号」「1-6」などなど。

記憶の問題

「思い出せること」はもちろん重要だ。ほぼ200万人のアドビ・ユーザが「123456」を選んでいるのは、他人に推測されにくいだろうと思ったからではない。自分が思い出すのが簡単だからそれを選んだ、というのが正しいだろう。我々は今、ほぼすべてのウェブサイトでパスワードを求められるが、それぞれのサイトに異なる「推測することが困難な」パスワードを設定するというのはまるで悪夢のようである。

そこで、1つの方法としてLastPassや1Passwordのようなパスワード・マネージャーを使用することが考えられるが、ここにセキュリティ担当者がきちんと理解しているとは思えない別の問題がある。普通の人々はまず、これが何なのかということすら分からないのだ。

クルレイの他の提案も同様に、普通の人々にはハードルが高い。

多数のウェブサイト上で同じパスワードを使用してはいけない。また、明らかに「推測することが容易な」パスワードを選ぶことをやめる必要がある…

繰り返すが、人々が同じパスワードを使いまわす理由は、複数の絶望的に複雑なパスワードを覚えておくことが不可能だからだ。私の娘のGmailアカウントが不正に流出した際、私はアカウントを安全に保つことの重要性を感じた。しかし私は娘や家族、多くの友人との日々の会話のなかで、より厳格なセキュリティ対策を維持することが現実的にはかなり難しいことを学んだ。

事態を悪化させる原因

クルレイのアドバイスに従うIT管理者やセキュリティ担当者たちが良かれと思って行う努力によって、事態はますます悪化する。

また恐らく、顧客に対しては最初の時点で、より複雑で予測困難なパスワードを確実に使用するよう強固に要求すべき時が来ているのだ。

素晴らしい意見だ。しかしこれこそが、私の妻が数多くのサイトで設定したパスワードを思い出せない理由であり、彼女がパスワードを思い出すのを助けるため、私が頻繁に彼女のマックでキーチェーンを操作することを強いられている原因なのだ。またこれは、私の両親がすべてのパスワードを保存してあるのと同じコンピューターに様々なファイルを入れている理由でもある。彼らはそれがセキュリティ上問題であることを知らないからそうしている訳ではなく、そうしなければ(セキュリティの天才達が強いているような)複雑なパスワードをすべて使いこなすことができないのだ。

繰り返すが、私はそのような安全対策が重要でないとは言っていない。安全対策はもちろん重要だ。ただし、それらはオンライン生活を厄介にするのである。

2ファクタ認証でセキュリティをシンプルに

2ファクタ認証。以前は敬遠していたが、実際に私が愛用するようになった方法はこれだ。娘のアカウントが不正に流出した時、私は自分、妻、子供のためにこれを採用した。その際ツイッターとフェイスブックもこの認証に対応させた。2ファクタ認証とは、あなたのパスワードをハックしようとする誰かに対し、あなたの電話へのアクセスも要求するというものだ。ハッキングが完全に不可能になる訳ではないが、単にパスワードを盗むよりははるかに難しいといえるだろう。

私はわりと定期的にグーグルから確認コード付きのメールを受け取る。これは未承認のデバイスからGmailにログインすることを、私の子供たちの誰かが試みたことを示唆している。メールか電話で本人であることを確認できたら、彼らにコードを送るのだ。セキュリティ強化のため、確認コードを受け取るには私の電話番号を使用している。多少面倒ではあるが、私は彼らのIT管理者としてアクセスを回復する方法について話したり、その他の対応を行うことができる。

これは私にとって、消費者のセキュリティ問題を解決する理想的な方法だ。特別なソフトウェアの使用や超人的な記憶力を人々に強いるのではなく、ただ携帯電話をしっかり持っていればいいのだから。この方法は普通のユーザーが「普通」なままでいることを許し、お粗末なパスワードでも安全でいられるようにしてくれるのである。

画像提供:orijinal(Flickrより, CC 2.0

Pocket