2013年には、多くの人がパスワードを盗まれた。中には、盗んだ人もいるだろう。
米国防高等研究計画局(DARPA)の遺物であるパスワードは、かつては各自の頭の中にある秘密だった。しかし2013年には、盗まれたパスワードダンプを晒すPastebinやDump Monitor、そしてインターネットのさまざまなブラックホールでハッカーにもてあそばれる情報へと、簡単に変わるということが度々起こった。
新しいクラッキングツールでは55文字までのパスワードを解読することが可能になっており、IT部門やエンドユーザーはパスワードを使った方法はもう終わりだと感じつつある。
無数のパスワードが、Adobe(3800万件)、MacRumors(86万件)、Ubuntuのフォーラム(182万件)、GitHub(未発表)などのサイトから盗まれている。安全だったパスワードは少なかったと言えるかもしれない。
当初は、パスワードが盗まれたサイトのアカウントへのアクセスが問題になったが、多くのユーザーが複数のサイトで共通のパスワードを使用しているため、ハッカーたちは、盗まれた認証情報を、ゲームのネットワークや銀行などの、より実入りのいいサイトで使用することに価値を見いだすようになった。
盗まれた認証情報は、他にも巧妙な方法で悪用されている。
2013年始めにNew York Timesをダウンさせるのに使われたのは、フィッシングで盗まれたパスワードだった。このパスワードは、オーストラリアのDNSレジストラから盗まれたもので、DNSレコードのポイズニングに使用され、nytimes.comのトラフィックがリダイレクトされた。
2013年に問題になったのは、盗まれたパスワードそのものではなく、それがユーザーに対してどう悪用されたかだったと言える。
Facebook、Google、GitHub、Twitterなどの大手サイトでは、オプションとして2要素認証が導入されるようになった。Googleは、2要素認証を義務化すると発言した。この技術は万能薬ではないが、ユーザー名とパスワードを認証情報として使う従来の方法よりは優れている。
ユーザーの観点から見れば、2014年には2要素認証が「強い」認証オプションとして事実上の標準になると期待できる。スマートフォンの普及は、この導入を後押しするだろうが、ユーザーは利便性が落ちるのを好まないため、手間がかかる2要素認証には不満の声が出るだろう。要するに、認証情報を何度も入力する必要のある現在の2要素認証に抵抗が出てくるのは避けられないことで、パスワードハッキングによるエンドユーザーの被害がいくら増えても、この抵抗が消えることはないと思われる。
