使い方しだいではまだまだ利用価値がある「固定パスワード」
パスロジは、独自開発のワンタイムパスワード製品「PassLogic(パスロジック)」を中心に認証ソリューションを提供する企業。PassLogicは、ユーザーが「マス目の並び」を記憶し、認証の際に表示される乱数表から記憶しているマス目の並びに沿って文字を抜き出してパスワードを判別し、それを入力することで、ログインするというもの。
パスロジ株式会社 代表取締役社長 小川 秀治氏
認証のたびに乱数表が自動的にランダムに切り替わるために、ユーザーが決めた同じマス目の並びから文字を抜き出しても、結果的に毎回異なるパスワードが生成される。この仕組みにより、パスワード漏えいに起因するセキュリティリスクを排除できるという。さらに、トークンなどの認証機器を使用しないため、ユーザーの持ち運びの負担、管理者の管理負担と、ハードウェアの経費負担が軽減される。
PassLogicは既に国内で200社以上、107万IDで使われている実績があり、小川氏によれば「PassLogicを“I Have”認証と組み合わせることで、ログインハッキングはほぼ完全にシャットアウトできる」という。ただし、こうしたワンタイムパスワードの仕組みを導入せずとも、たとえ旧来の固定パスワードでも運用のやり方しだいではまだ十分に利用価値があるとも同氏は述べる。
「セキュリティ専門家の間では、『もはや固定パスワードでセキュリティを担保するのは無理』という認識が定着しつつあるようですが、ここではあえて『固定パスワードの使い方をあらためて見直してみませんか?』と提案してみたいと思います」
確かにワンタイムパスワードを導入すればセキュリティレベルは上がるが、その分ユーザーの利便性は低下する。であれば、「セキュリティ要件が特段高くない場合は、このまま固定パスワードを安全に使い続ける方法を模索するのも手ではないか」と同氏は提言する。
「固定パスワードには、それ以外の方法にはない優れた点も多々あります。そこで、固定パスワードのいいところはそのまま残しつつ、同時に弱点をカバーできる技術を開発しました。これによって、固定パスワードをこれからもどんどん使い倒していくことが可能になりました」
