パスワードの近い未来【たまプラビジネス余談放談】20230303
パスワード漏洩のニュースは頻繁にある。先日もTwitterからの漏洩事件。そして漏洩しているかどうかのチェックもすぐにできたりする。対策に関する情報も多く公開されている。「推測されにくい文字列を」とか、「定期的に変更を」とか、「使い回しを避けて」とか、「パスワード管理アプリを使って」とか。どれも長短があり、結局、まだ試行錯誤状態というのが正直なところだろう。
パスワードをどうやって伝えるかという課題も残っている。金融機関などは郵送による方法をとっているところもある。日常的には、「PPAP方式」もまだ残っている。
いろいろな方式を考えてもなかなか収まらない。
GoogleやAmazon、日本郵便のクリックポストなどではパスワードに加えてワンタイムコード+指紋認証の方式も運用されている。Googleでは、別の端末からログインしようとすると登録済みデバイスにアラームが送られて本人確認が促され指紋認証でログインが許可される。前出のクリックポストでは、ログインする際に、あらかじめ登録済みのデバイス(スマホなど)に認証コードが送られそれを入力することでログインとなる。
または以下の新しいパスキー方式がいいのだろうか?
wired.jp説明を見る限り、現状のGoogleが提供するようなスマホと連動させてパスキーをシステムに送ってログインを行えるようにする操作感のようだ。この操作で統一されればそれはそれでいい。ただし、各システム、クラウドサービスなどがそれらを導入するまでにはある程度タイムラグがあるだろう。銀行系は下記写真のワンタイムカードが送られてくる。パスキーがこうしたハードウェア投資がなくなるのなら普及させられるかもしれない。
