セキュリティの担当者はパスワードを嫌っている。これは、忘れてしまったパスワードのリセットが世界で一番つまらない仕事だという理由もあるが、ユーザーがパスワードによるセキュリティをうまく扱えないことを知っているためでもある。
われわれユーザーもパスワードを嫌っているが、これは主に、セキュリティの担当者が「1234」や「pa55w0rd」のような楽なパスワードを使わせてくれないからだ。複雑なパスワードを暗記するのは大変なので、ユーザーはパスワードを紙に書き留めておくが、結局その紙を無くしてしまう。そしてまたしても、担当者に頭を下げてパスワードのリセットを頼まなければならなくなるのだ。
パスワードが好きな人はいない。ただし、パスワードをどこかで見つけたり、盗み出したり、簡単にクラックしたりして入手したハッカーは別だ。パスワードが入口の鍵として使われている場面はまだ数多くあり、一度パスワードが攻撃者の手に渡ってしまえば、好き放題にされてしまう場合も多い。
パスワードは安全性が低く、煩わしく、損失を招く場合もあるため、もしその基本的なコンセプトに導入しやすく、理解しやすいという利点がなければ、はるか昔に使われなくなっていただろう。しかしようやく、パスワードの終焉が視野に入ってきた。
今では、多くのアプリケーションに何らかの形で2要素認証が導入されている。2要素認証は、認証にユーザーの知っているもの(例えばパスワード)に加えてユーザーの所有物(例えばスマートフォンの認証アプリで生成されたコードや、安全性は低くなるが、アプリから送信されたメッセージなど)も利用する方が、パスワードだけに頼るよりも安全だという考えに基づいている。この仕組みは、フィッシングメールでパスワードをだまし取ることから始まる、非常に基本的な(しかし極めて効果的な)セキュリティ侵害を減らすには効果的だ。
では、次のステップは何だろうか。この点では、指紋認証や顔認証などのバイオメトリクスを利用してログオンすることが一般的になっているスマートフォンの方が、PCの世界よりもはるかに進んでいる。これは、認証の手段が、ユーザーの所有物からユーザーが誰であるかに変わることを意味する。
指紋リーダーに指を押しつける方がパスコードの入力よりも時間がかからないし、スマートフォンの画面を自分の顔の方に向けるだけでデバイスがアンロックされるのは、ユーザーにとって自然な動作の流れだ。将来は、PCやその他のデバイスへのアクセスでも、これらの手段が使われるようになることが予想される。
Microsoftはすでに、「Windows 10」に多要素認証とバイオメトリクスを組み合わせて認証する「Windows Hello」を導入し、パスワードをなくしていく計画を明らかにしている。Windows Helloの利用者は、すでに4700万人を超えているという。
またある英国の銀行は、2018年に入ってから、Windows Helloを使って顔や指紋で口座にオンラインでアクセスできるようにする実験を行う計画を発表しており、2018年10月には、英国政府のサイバーセキュリティ対応機関である国家サイバーセキュリティセンター(NCSC)が、指針を改定して、英国の政府機関はWindows 10導入の一環として「Windows Hello for Business」の利用を推奨すると明記した。
