パスワードの死について語り出すと止まらない人がいます。パスワードが古く、安全でなく、簡単に漏えいする。もうすぐ、バイオメトリクスやハードウェアセキュリティキーなど、未来のソリューションが使われるようになるんでしょう？まあ、そうもいかないか。

1Passwordのセキュリティ責任者であるJeffery Goldberg氏に話を聞いたところ、"今回のパスワード問題には改善が見られるかもしれないと、慎重に楽観視している "とのことでした。

これは楽観的な見方であり、死のコードとは程遠いものです。

なぜ人々はコードを殺したいと思うのか

2018年5月、「パスワードのない世界を構築する」という同社の目標について議論した際、マイクロソフトのセキュリティチームはこう書いている。

"パスワード "が好きな人はいない。不便で、不安定で、高価なものです。実際、私たちはパスワードが嫌いなので、パスワードのない世界を作ろうと躍起になっている。"

パスワードは時間が経つにつれてどんどん煩わしくなり、再利用することのリスクは誰もが知っていることです。複数のサイトで同じパスワードを使用していて、パスワードの流出があった場合、そのパスワードを使って他のサイトのアカウントにアクセスすることができます。そのため、利用するサービスごとに強力でユニークなパスワードを選択する必要があります。短いパスワードを少数のウェブサイトで繰り返し使用する時代は終わりました。

超人的な記憶力を持たない多くの人にとって、オンライン・アカウントごとに強力でユニークなパスワードを覚えておくことは不可能です。そのため、強力でユニークなパスワードをすべて記憶してくれるパスワードマネージャーをお勧めします。マスターパスワードだけ覚えておけばいいので、100個覚えるよりずっと簡単ですし、同じパスワードを何度も使うよりずっと安全です。

パスワードマネージャーを使用する場合でも、完全に安全というわけではありません。あなたのシステムにキーロガーを仕掛けた誰かが、あなたのパスワードを捕らえ、あなたになりすましてログインすることができるのです。そのため、このサービスでは、セキュリティをさらに強化することにしています。私たちは通常、パスワードを入力し、コードやキーを使って2回目の認証を行います。

もっといい方法はないのでしょうか？

パスワードの代わりになるものは何ですか？

ゴールドバーグは、過去20年以上にわたって、規則を廃止しようとする「計画」を次々と見てきたという。その多くは、過去の失敗から学んでいない。しかし、より強力なローカルデバイスなどの進歩により、新しいものは成功する可能性があります。

バイオメトリクスはパスワードの代わりになる。iPhoneでは暗証番号を入力する代わりに、タッチや顔認証（バイオメトリクス）を使ってサインインすることができます。android**にも指紋や顔認証によるサインイン機能が搭載されています。

また、Windowsにログインするための「パスワードなし」のMicrosoftアカウントを作成できるようになりました。ユーザー名は電話番号で、入力する「パスワード」はSMSで電話番号に送信されるコードになります。

また、オンライン・アカウントの認証には、パスワードの代わりに物理的なセキュリティ・キーを使用することができます。キーを持ち歩き（キーホルダーにつけることも可能）、ログイン時にUSB、NFC、Bluetoothで使用することができます。

**パスワードの代わりにもなります。Googleは、Android端末をFIDO2キーとして機能させることができるようになりました。ノートパソコンでWebサイトにログインする際、**の指紋で認証する必要がある場合もあります。

多くの企業は、「シングルサインオン」サービスを提供することで、パスワードへの依存を減らそうとしています。これは、FacebookやGoogleなどにサインインした後、そのアカウントを使って他のサービスにサインインする際に、追加のパスワードが不要になることを指します。

パスワードの "置換 "は、パスワードを置換しない

しかし、ここで大きな問題があります。パスワードの「代用品」として宣伝されている技術は、実際には代用品ではありません、少なくとも現時点では。

顔認証やタッチ認証などの生体認証は、これまで通りパスコードとApple IDのパスワードの両方がデバイスに必要です。また、バックグラウンドでの暗号化のためにPINを必要とするタスクもあります。Androidの生体認証は、基本的にWindows 10のWindows Helloと同じで、便利な機能として搭載されています。デバイスへのサインインは、毎回パスワードを入力する必要がないので簡単ですが、パスワードに代わるものではありません。

パスワードのないアカウントが電話番号を送ってくるのもイマイチ。このサービスは、アカウントにパスワードを生成する代わりに、ログインしようとするたびに新しいパスワードをSMSで送信します。この方法は、単一のパスワードに加え、ログイン時にセキュリティコードを送信する従来の方法よりも安全性が低くなります。

残念ながら、多くの場合、攻撃者は簡単に電話番号を盗むことができるため、安全性は低くなってしまいます。電話番号がユビキタスな国では、連絡手段として有効ですし、アカウント登録の手間も省けるので、アマゾンがこのサービスを提供しているのでしょう。しかし、パスワードを置き換えることは良い解決策ではありません。

物理セキュリティキーを使用するサービスのほとんどは、追加の認証オプションとして使用しています。パスワードを使ってログインした後、ログインの追加確認としてセキュリティキーを提供することに変わりはありません。パスワードなしで鍵を使えるようになるのは、まだ先の話です。

また、シングルサインオンサービスには、プライバシーの問題があります。Googleでログイン」または「Facebookでログイン」をクリックすると、サービス運営者のGoogleまたはFacebookは、あなたが何にサインインしているかを知ることができます。

パスワードは常に（バックグラウンドで）持っている

パスワードを**に置き換えるというGoogleの夢が実現したとしても、パスワードがなくなるわけではありません。the VergeはGoogleの計画をこのようにまとめています。"すでに**にログインしている場合、これはGoogleアカウントにログインしたい次のデバイスの「起動」に使うことができます。"と。

パスワードは長い間使わないようにしても、バックグラウンドで残っています。結局のところ、すべてのデバイスを失ったときに必要になるのです。

パスワードはまだ一般的なものです。セットアップも簡単で、使い勝手もいい。パスワードの「代用」は、より利便性を高め、あるいはさらなる安全性を提供します。しかし、デバイスを紛失し、生体認証やハードウェアセキュリティが使えない場合、アクセスを回復する方法が必ず必要になります。

1Passwordの最高執行責任者であるMatt Davey氏は、「パスワードが必要とされるエッジケースは常に存在すると思う」と述べている。.例えば、iOS 13でAppleサインインを使用すると、Apple以外のデバイスでサインインする際にApple IDのパスワードを使用するウェブベースのサインインオプションが提供されます。パスワードはどこでも通用し、高度な生体認証やハードウェアのセキュリティ機能を利用できない場合の普遍的なデフォルトとなります。

ゴールドバーグが言うように、Webサイトでは「パスワードの実装はとてもとても簡単」です。"サービスオペレーターにとって、今でも一番わかりやすいものです。"

だからこそ、1Passwordはパスワードマネージャの未来に強気でいるのです。同社によると、競争が激化し、新しいユーザーが増える中でも、Apple、Google、Mozillaなどの企業は、パスワード管理に真剣に取り組んでいるとのことです。

未来はどうなる？

パスワードを殺すというのは遠い夢であり、仮にうまくいったとしても、少しずつ前進してよりシンプルなものに置き換わっていくのがベストシナリオです。

ある日突然、パスワードはアカウント復旧の手段として忘れ去られた存在になるかもしれません。でも、おそらくこれから先もずっと存在し続けるでしょう。多くの人々の日常生活から追放するための戦いは、長く厳しいものになるでしょう。しかし、パスワードを完全に削除してしまうのはいかがなものでしょうか？それは余計に想像しにくいですね。