ベターな方法は多要素認証の活用
IDとパスワードによる認証は、ユーザーの記憶力に依存するところに問題がある。こうした認証を必要とするサービスは、ユーザー1人当たり17~20種類を利用しているともいわれる。さすがに、これだけの数のログイン情報を記憶することには無理がある。そこで、サービス側で対応するケースが増えてきている。ログイン連携や二要素認証などといったものだ。
ログイン連携は、1つのサービスのログイン情報を別のサービスにも適用する方法だ。よく見かけるものには、例えば「Facebook連携」がある。これを利用すると、Facebookと対応サービスが連携され、Facebookへのログインで対応サービスも利用できるようになる。OpenIDに近いサービスだが、Facebookのログイン情報が漏れてしまうと、全ての連携サービスに不正ログインされてしまうという危険性がある。
同様に、クラウドサービスを中心に採用が広がっているのが、「SMSによる二要素認証」だ。これは、普段サービスを使用しているデバイスや場所が記憶されており、いつもと異なるデバイスや場所でログインがあった際に、SMSにPINコードを送り、ログイン時に合わせて入力する。常に持ち歩くことの多いスマートフォンをワンタイムパスワード表示機器として活用する形となる。
スマートフォンには、指紋認証や顔認証、虹彩認証といった生体認証機能を搭載する機種も多く、多要素認証を実現できる機器として有力だ。生体認証機能があれば、たとえ紛失や盗難に遭った際でも、第三者による悪用を防げる。企業向けの資産管理製品においても、スマートフォンへの対応が進んでいるため、スマートフォンを認証機器として活用するケースは増えそうだ。
さまざまなログイン情報を管理できる「パスワード管理ツール」も複数登場している。これは、ウェブサービスなどで使用するログイン情報を記憶させて、自動入力するツールだ。ツールにログインするためのマスターパスワードさえ覚えておけば、ユーザーがたくさんのログイン情報を記憶する必要がなくなる。例えば、Googleが提供するウェブブラウザ「Chrome」では既に実装されている。使い勝手はいいが、連携サービスと同様に、マスターパスワードを破られたら終わり、というリスクを伴う。
今後はIoTや高度なサービスの普及によって、認証が必要になる場面も増える可能性が高い。とはいえ、メーカーや開発側も、ユーザーによる認証がなるべく少ない回数になるよう工夫すると思われる。
例えばスマートホームにおいて、玄関の鍵や照明、テレビ、風呂などを使用するために認証が必要では、利便性が損なわれてしまう。また、第三者が使用するケースも考えられるため、認証の設計は難しくなりそうだ。ユーザーとしては、利便性と安全性のバランスで認証ツールを選んでいくことが現実的であろう。
