中国・北京(Beijing)のカフェで、ノートパソコンを囲む人たち(2013年5月29日撮影、資料写真)。(c)AFP/Ed Jones 2013年06月29日 13:44 発信地:ワシントンD.C./米国
【6月29日 AFP】安全なパスワードを探しているなら、
「HQbgbiZVu9AWcqoSZmChwgtMYTrM7HE3ObVWGepMeOsJf4iHMyNXMT1BrySA4d7」
を試してみては?暗記できれば、の話だが。
この例はオンラインのパスワード生成サイトで生成したパスワードだが、バーチャル(仮想)生活での安全を守るとなると、63文字のランダムな英数字、これが最高のパスワードと言える。
だが、数百万人のインターネットユーザーが身をもって学んできたように、自社サーバーを十分に保護できていない銀行、電子メールサービス、小売業者、ソーシャルメディアなどのサイトから、ユーザーのパスワードがハッカーにごっそり盗まれる事態が現実に起こりうる状況では、安全なパスワードなど存在しないのだ。
その上、技術が急速に成長している中で、コンピューターの恐竜時代の遺物とも言うべき「ユーザー名とパスワード」方式が、なぜいまだに標準であり続けているのだろうか。
「答えは信じられないほど簡単。『安いから』だ」と話すのは、ノルウェーのオンラインセキュリティー専門家で、7月に米ネバダ(Nevada)州ラスベガス(Las Vegas)で開催される世界で唯一のパスワード専門会議「PasswordsCon」を主催するペア・トーシャイム(Per Thorsheim)氏。
同氏は「ソフトウェアベースのトークン、ハードウェアベースのトークン、バイオメトリクス(生体認証)などの使用を伴う2段階認証など、パスワード方式の他に何かを加えたい場合、プラスアルファが必要になる。それにより、費用が余分にかかる」とAFPに語った。
最初の頃は、すべてがあまりに簡単だった。
最も初期のコンピューターには、部屋ほどの大きさの大型汎用機だけでなく、スタンドアローン(独立)型の機器もあった。これらは互いに接続されることはなかったので、パスワードはごく少人数のオペレーターしか必要とせず、そういった人々はおそらく皆顔見知りだった。
その後インターネットが登場し、急増するコンピューター、スマートフォン(多機能携帯電話)、タブレット端末を、世界中に張り巡らされた1つのネットワークに結びつけた。これにより、見知らぬ者同士が互いに身元を確認するための何らかのバーチャルな手段が必要になった。
こうしてパスワードがあまりに増え続けてきたために、ユーザーは、パソコン1台だけでなく、数台の機器すべてで、数十個ものパスワードを適切に管理するために、日々奮闘する事態に陥っている。
この現象には「パスワード疲れ」という名前さえも付けられている。
米セキュリティー対策ソフト大手シマンテック(Symantec)が提供するセキュリティー対策ソフト「ノートン(Norton)」のインターネット・セキュリティー推進者、マリアン・メリット(Marian Merritt)氏は、「人々がパスワードというものを真剣に捉えてこなかったために、非常に大規模なパスワード流出事件が数多く発生した」と話す。
画像ベースのパスワード代替機能を開発している米コンフィデント・テクノロジーズ(Confident Technologies)のサラ・ニーダム(Sarah Needham)氏は「スマートフォンやタブレットからウェブサイトにアクセスするユーザーが増えるにつれて、パスワードの手入力がますます面倒になっている」と述べた。
24か国を対象とした昨年のノートンによる調査では、ユーザーの4割が複雑なパスワードを使用していない、またはパスワードを定期的に変更していないことが明らかになっている。
ノートンと競合する米インターネット・セキュリティー大手マカフィー(McAfee)が行った調査では、ユーザーの6割以上が、パスワード入力の必要なウェブサイト5〜20か所に定期的にアクセスしており、同程度の割合のユーザーが、使いやすいパスワードを好むことが明らかになったという。
この話題を扱った最初の本の1冊、「Perfect Password: Selection, Protection, Authentication(完璧なパスワード:選択、保護、認証)」(2005年出版)の著者であるマーク・バーネット(Mark Burnett)氏によると、最も広く使われているパスワードは「password」や「123456」だという。
■バイオメトリクスの普及近づく
米カリフォルニア(California)に本拠を置くネットワークセキュリティー企業、フォーティネット(Fortinet)の製品管理部門を統括するカール・ウィンザー(Carl Windsor)氏は、雇用主のユニックス(Unix)システム全体に、同意を得た上で、フリーウエアのパスワード解読プログラム「John the Ripper」を実行したことがあるという。
ウィンザー氏は数秒以内に、同システムのパスワードの3分の1を入手し、数分以内にもう3分の1を入手した。「同僚の『超安全』なパスワードを5分かからずに見つけて、賭けにも勝てた」と同氏はAFPに電子メールで語った。
さまざまなパスワード代替機能の開発が進行中だ。
米グーグル(Google)は、ユーザーに個別にコード化した指輪で機器をタップしたり、ユビキー(YubiKey)と呼ばれる固有のIDカードをコンピューターのUSBポートに差し込んだりするアイデアを検討している。
米ペイパル(Paypal)も参加しているコンソーシアム(共同企業体)「FIDOアライアンス(FIDO Alliance)」は、例えばウェブサイトでスマートフォンユーザーがタッチスクリーン上に指先を置いて身元確認を行えるようにするオープンソースのシステムを推進している。
FIDOのラメシュ・ケサヌパリ(Ramesh Kesanupalli)副社長は「こうした(生体認証)技術は現在、非常に成熟しており、コスト効率も高く、消費者市場に本格的に投入するための体制が整っている」とAFPに語った。
FIDOの技術は、早ければ今年中には提供できるだろうと同氏は述べている。これは、バイオメトリクスが5年以内にパスワードに取って代わるだろう、とした米IBMのデービッド・ナハムー(David Nahamoo)研究員による2011年の予測を上回るペースだ。
米通信機器大手モトローラ・モビリティ(Motorola Mobility)の研究部門を率いるレジーナ・デューガン(Regina Dugan)氏はさらに先を行き、「パスワード錠剤」を提案している。この錠剤には、胃酸で作動するマイクロチップとバッテリーが組み込まれており、ここから発信される信号が、固有のID信号になる仕組みになっている。
現在のところ、インターネットサービスの多くで、ユーザーに「飼っているイヌの名前は?」などの追加質問に答えさせたり、携帯電話へのSMSメッセージ経由で1回限り使用可能な数字コードを発行したりする、2段階認証が採用されている。
また、ラストパス(Lastpass)、キーパス(KeePass)、ワンパスワード(1Password)、ダッシュレーン(Dashlane)や、米アップル(Apple)から発表されたばかりの「iCloud Keychain」などのオンラインパスワード管理サービスも次々と登場している。
これらのサービスは、個人のパスワードを一か所に集め、安全に保管することを約束している。保管されているパスワードには、1個のマスターパスワードでアクセスできる。だがこのアイデアを、最も確実なパスワード代替機能が現れるまでの「応急措置」と見なす専門家もいる。
代替機能が現れるまでの間は、文字、数字、記号を組み合わせた、できるだけ長い文字数のパスワードにすることと、2か所以上のウェブサイトで同じパスワードを絶対に使用しないことが2大原則になるという点では、多くのセキュリティー専門家らが意見を同じくしている。
ここから先は、祈るしかない。使用しているウェブサイトが、あなたのバーチャル世界への扉を開く鍵を守るために、ウェブサイト側でできることをすべて実行していてくれることを。(c)AFP/Robert MacPherson
AFPBB News トップへ
可っ笑しい!人類の最新のツール・コンピューターシステムちゃらパスワードちゃら、完璧なものと信じていた小父さんが馬鹿だった。言わば、個人情報を「どうぞ見て下さい」というツールがネットなのかね!?まあ、便利だからどんどん使うけど、これは盗む方も悪いんだろうが、盗まれる方にも責任を問われそうだ。元米中央情報局(CIA)職員のエドワード・スノーデン容疑者は今、米国が国内法で必死で追いかけているけどスパイ活動をさせていたCIAの責任を問う国際法はないんだろうね!(笑)
パスワードとハッカー共々、国際的いたちごっこの展開中だ!
【6月29日 AFP】安全なパスワードを探しているなら、
「HQbgbiZVu9AWcqoSZmChwgtMYTrM7HE3ObVWGepMeOsJf4iHMyNXMT1BrySA4d7」
を試してみては?暗記できれば、の話だが。
この例はオンラインのパスワード生成サイトで生成したパスワードだが、バーチャル(仮想)生活での安全を守るとなると、63文字のランダムな英数字、これが最高のパスワードと言える。
だが、数百万人のインターネットユーザーが身をもって学んできたように、自社サーバーを十分に保護できていない銀行、電子メールサービス、小売業者、ソーシャルメディアなどのサイトから、ユーザーのパスワードがハッカーにごっそり盗まれる事態が現実に起こりうる状況では、安全なパスワードなど存在しないのだ。
その上、技術が急速に成長している中で、コンピューターの恐竜時代の遺物とも言うべき「ユーザー名とパスワード」方式が、なぜいまだに標準であり続けているのだろうか。
「答えは信じられないほど簡単。『安いから』だ」と話すのは、ノルウェーのオンラインセキュリティー専門家で、7月に米ネバダ(Nevada)州ラスベガス(Las Vegas)で開催される世界で唯一のパスワード専門会議「PasswordsCon」を主催するペア・トーシャイム(Per Thorsheim)氏。
同氏は「ソフトウェアベースのトークン、ハードウェアベースのトークン、バイオメトリクス(生体認証)などの使用を伴う2段階認証など、パスワード方式の他に何かを加えたい場合、プラスアルファが必要になる。それにより、費用が余分にかかる」とAFPに語った。
最初の頃は、すべてがあまりに簡単だった。
最も初期のコンピューターには、部屋ほどの大きさの大型汎用機だけでなく、スタンドアローン(独立)型の機器もあった。これらは互いに接続されることはなかったので、パスワードはごく少人数のオペレーターしか必要とせず、そういった人々はおそらく皆顔見知りだった。
その後インターネットが登場し、急増するコンピューター、スマートフォン(多機能携帯電話)、タブレット端末を、世界中に張り巡らされた1つのネットワークに結びつけた。これにより、見知らぬ者同士が互いに身元を確認するための何らかのバーチャルな手段が必要になった。
こうしてパスワードがあまりに増え続けてきたために、ユーザーは、パソコン1台だけでなく、数台の機器すべてで、数十個ものパスワードを適切に管理するために、日々奮闘する事態に陥っている。
この現象には「パスワード疲れ」という名前さえも付けられている。
米セキュリティー対策ソフト大手シマンテック(Symantec)が提供するセキュリティー対策ソフト「ノートン(Norton)」のインターネット・セキュリティー推進者、マリアン・メリット(Marian Merritt)氏は、「人々がパスワードというものを真剣に捉えてこなかったために、非常に大規模なパスワード流出事件が数多く発生した」と話す。
画像ベースのパスワード代替機能を開発している米コンフィデント・テクノロジーズ(Confident Technologies)のサラ・ニーダム(Sarah Needham)氏は「スマートフォンやタブレットからウェブサイトにアクセスするユーザーが増えるにつれて、パスワードの手入力がますます面倒になっている」と述べた。
24か国を対象とした昨年のノートンによる調査では、ユーザーの4割が複雑なパスワードを使用していない、またはパスワードを定期的に変更していないことが明らかになっている。
ノートンと競合する米インターネット・セキュリティー大手マカフィー(McAfee)が行った調査では、ユーザーの6割以上が、パスワード入力の必要なウェブサイト5〜20か所に定期的にアクセスしており、同程度の割合のユーザーが、使いやすいパスワードを好むことが明らかになったという。
この話題を扱った最初の本の1冊、「Perfect Password: Selection, Protection, Authentication(完璧なパスワード:選択、保護、認証)」(2005年出版)の著者であるマーク・バーネット(Mark Burnett)氏によると、最も広く使われているパスワードは「password」や「123456」だという。
■バイオメトリクスの普及近づく
米カリフォルニア(California)に本拠を置くネットワークセキュリティー企業、フォーティネット(Fortinet)の製品管理部門を統括するカール・ウィンザー(Carl Windsor)氏は、雇用主のユニックス(Unix)システム全体に、同意を得た上で、フリーウエアのパスワード解読プログラム「John the Ripper」を実行したことがあるという。
ウィンザー氏は数秒以内に、同システムのパスワードの3分の1を入手し、数分以内にもう3分の1を入手した。「同僚の『超安全』なパスワードを5分かからずに見つけて、賭けにも勝てた」と同氏はAFPに電子メールで語った。
さまざまなパスワード代替機能の開発が進行中だ。
米グーグル(Google)は、ユーザーに個別にコード化した指輪で機器をタップしたり、ユビキー(YubiKey)と呼ばれる固有のIDカードをコンピューターのUSBポートに差し込んだりするアイデアを検討している。
米ペイパル(Paypal)も参加しているコンソーシアム(共同企業体)「FIDOアライアンス(FIDO Alliance)」は、例えばウェブサイトでスマートフォンユーザーがタッチスクリーン上に指先を置いて身元確認を行えるようにするオープンソースのシステムを推進している。
FIDOのラメシュ・ケサヌパリ(Ramesh Kesanupalli)副社長は「こうした(生体認証)技術は現在、非常に成熟しており、コスト効率も高く、消費者市場に本格的に投入するための体制が整っている」とAFPに語った。
FIDOの技術は、早ければ今年中には提供できるだろうと同氏は述べている。これは、バイオメトリクスが5年以内にパスワードに取って代わるだろう、とした米IBMのデービッド・ナハムー(David Nahamoo)研究員による2011年の予測を上回るペースだ。
米通信機器大手モトローラ・モビリティ(Motorola Mobility)の研究部門を率いるレジーナ・デューガン(Regina Dugan)氏はさらに先を行き、「パスワード錠剤」を提案している。この錠剤には、胃酸で作動するマイクロチップとバッテリーが組み込まれており、ここから発信される信号が、固有のID信号になる仕組みになっている。
現在のところ、インターネットサービスの多くで、ユーザーに「飼っているイヌの名前は?」などの追加質問に答えさせたり、携帯電話へのSMSメッセージ経由で1回限り使用可能な数字コードを発行したりする、2段階認証が採用されている。
また、ラストパス(Lastpass)、キーパス(KeePass)、ワンパスワード(1Password)、ダッシュレーン(Dashlane)や、米アップル(Apple)から発表されたばかりの「iCloud Keychain」などのオンラインパスワード管理サービスも次々と登場している。
これらのサービスは、個人のパスワードを一か所に集め、安全に保管することを約束している。保管されているパスワードには、1個のマスターパスワードでアクセスできる。だがこのアイデアを、最も確実なパスワード代替機能が現れるまでの「応急措置」と見なす専門家もいる。
代替機能が現れるまでの間は、文字、数字、記号を組み合わせた、できるだけ長い文字数のパスワードにすることと、2か所以上のウェブサイトで同じパスワードを絶対に使用しないことが2大原則になるという点では、多くのセキュリティー専門家らが意見を同じくしている。
ここから先は、祈るしかない。使用しているウェブサイトが、あなたのバーチャル世界への扉を開く鍵を守るために、ウェブサイト側でできることをすべて実行していてくれることを。(c)AFP/Robert MacPherson
AFPBB News トップへ
可っ笑しい!人類の最新のツール・コンピューターシステムちゃらパスワードちゃら、完璧なものと信じていた小父さんが馬鹿だった。言わば、個人情報を「どうぞ見て下さい」というツールがネットなのかね!?まあ、便利だからどんどん使うけど、これは盗む方も悪いんだろうが、盗まれる方にも責任を問われそうだ。元米中央情報局(CIA)職員のエドワード・スノーデン容疑者は今、米国が国内法で必死で追いかけているけどスパイ活動をさせていたCIAの責任を問う国際法はないんだろうね!(笑)
パスワードとハッカー共々、国際的いたちごっこの展開中だ!