そして今日も焼売食べてもうた。ごきげんよう。
パスワードを入れ間違えただけでアカウントがロックされるの納得いかない。(でたよ)
Gmailなんか1回ミスっただけで復旧が必要だの携帯電話と連携しろだのともう大騒ぎ。
世界で最も多く使われているサービスでしょうから過敏になるのもわからないでもありませんが。
本人がパスワードを間違えた場合、システムが取るべき挙動はパスワードリセットの案内だと思うんです。
ついでにメールアドレスが生きているかどうかの確認にもなりますし。
それもせずなりすましの疑いがある、はいロック、などという判断は乱暴に過ぎます。
というか、ブロックすべきはアカウント単位ではなくアクセス元単位であるはずです。
アカウントロックだと本人含めて使えなくなりますから、これは理不尽です。
そうではなく、なりすましてログインしようとした別人だけをブロックすることが本来やりたいことのはずです。
ただそれが難しいので現状こうなっているという話で。
アクセス元というとまず浮かぶのがIPアドレスですが、ISP経由やモバイル回線ではいつ変化するかわかりません。
異なるアドレスからアクセスがあったときにそれが別人だと確証が得られない限り、同一人物が繰り返しアクセスしている可能性があると判断せざるをえないわけです。
他にはデバイス情報ですが、インターネット経由で送れる情報には限りがあります。
HTTPプロトコルではUser-Agentくらいしかありません。
同じブラウザーやOSなんてごまんと使われていますし、反対に一人で複数のデバイスを使用しているケースなども考えると、やはり同一人物かどうかの判断は困難を極めます。
パスワードによる現在のしくみはもはや限界だと言われています。
現在増えているのは多要素認証で、EメールやSMSで認証コードが送られてきてそれを追加で入力するというものですが、手間が増えただけで何も楽になっていません。
パスワードマネージャーも存在しますが、システム側が変わらない以上アカウントロックに見舞われる可能性は引き続きあります。
求められているのは脱パスワードです。
これはユーザーの負担軽減というよりも、システム事業者がパスワード漏洩に伴う損失を回避するために動き出しているように思われます。
要するにユーザーはばかだと気づいたというか(ぉ
本人確認の手段は what you are, what you have, what you know に大別されますが、そのうちパスワードは本人の頭の中にある情報、すなわち what you know です。
その記憶力に限界があると疑いだしたのです。
インターネットサービスも、それにひもづいて覚えるパスワードも増え続けているのに、それを適切に管理できている人のほうが少ないのではないでしょうか。
つい使い回したり、推測されやすいものをつけたりといった人が出てきても無理はありません。
とくにGmailのような巨大サービスの場合、アカウント数が膨大ですからその中で管理がちゃんとできていない人はどうしても一定数存在するでしょう。
そこで個人個人の記憶に頼った認証はやめよう、ということで検討が進んでいます。
パスワードに代わるしくみとして登場しているのがパスキーです。
これは調べてみるといわゆる公開鍵暗号方式で、われわれSEが普段から使っているものです。
と言っても各ユーザーに ssh-keygen を打たせるわけではなく、秘密鍵はスマートフォンなどに保存されているようです。
秘密鍵はデジタルデータですが、それが入ったデバイスを物理的なキーとみなすことができます。
それを持っている人だけがログインできる、すなわち what you have です。
インターネットの普及に伴いパスワード認証が一気に広まりましたが、それを鍵を使って扉を開ける太古からの方法に戻そうという動きです。
紛失や盗難の心配はありますが、それは家の鍵などと一緒です。
スマーホのロックを厳重にすればよい話ですし、万一のときは携帯電話会社に連絡して機能を停止できます。
…実際にやったことないのでできるはずとしか申し上げられませんが。
なりすましに関しても、身近な人にスマーホを勝手に使われる可能性はあっても、少なくとも海外の見知らぬ誰かに乗っ取られることはなくなります。
何よりパスワード管理から解放される素晴らしさ!
ただし実現には、既存の数えきれないほどのパスワード認証システムがリプレースされる必要があります。
気の遠くなるような時間がかかりそう。
0 件のコメント: