パスワード廃止に向かうGoogle 他社も続く

パスワードは覚えにくく、管理しにくい。さらにパスワードは漏えいしやすく、いったん漏えいすると危機を招くため、IT業界全体でパスワードを段階的に廃止する動きが進んでいる。

[David Jones，Cybersecurity Dive]

　2023年5月3日、IT業界全体でパスワードを段階的に廃止する幅広い動きの一環として、Googleがある発表を行った（注1）。

Googleはパスワードの代わりに何を使うのか

　Googleの動きは、2022年にAppleやMicrosoftが起こした、パスワードレス認証規格の利用拡大を推進しようという行動に沿ったものだ。

　Googleはパスワードレス認証規格「パスキー」（PassKey）を採用し、アカウント保持者がパスキーを作成できるようにした。

　パスキーは認証情報をローカルPCやモバイルデバイスなどに保存する方式の一種で、FIDOアライアンスとW3Cが標準化している。パスキーを利用すると、顔や指紋のスキャンを利用したスマートフォンなどのデバイスへのアクセスと同じやり方で、アプリケーションやWebサイトへのサインインが可能になる。つまりパスワードを入力する必要がない。そのためフィッシング攻撃による認証情報のハッキングリスクを軽減できる。

　GoogleはAppleやMicrosoft、FIDOとともに、Googleのプラットフォームでパスキーをサポートできるよう、2022年に作業を開始しており、今回、ユーザーが利用できるようになった。

　Googleの発表と同日、パスワードマネジャーなどを開発するDashlaneは、「パスワードレスログイン」と呼ばれる機能を発表した（注2）。パスワードマネジャーのユーザーがサービスにアクセスするためにマスターパスワードを作成する必要がなくなる。他社のパスワードマネジャーではマスターパスワードの漏えいなどが報じられていることから、Dashlaneの発表はよりよい選択肢の一つとなる可能性がある。

　GoogleとDashlaneによる発表は、IT業界全体で認証方法としてパスワードの使用を廃止するという広範な取り組みを反映したものと言える。

パスワードを廃止し、フィッシング攻撃やランサムウェア攻撃への耐性を高める

　直近の1年間を見ても、たびたび従業員やサードパーティーベンダーに対するフィッシング攻撃から始まったデータ漏えいやランサムウェア攻撃の報じられている（注3）。

　フィッシング攻撃などによってパスワードが漏えいすると、顧客情報や企業秘密、場合によっては企業が開発したアプリケーションのソースコードなどの機密データが攻撃者の手に渡ってしまう。

　Dashlaneのドナルド・ハッソン氏（最高製品責任者）は次のように述べた。「パスワードを入力しなければならない状況をなくすことが目標だ。侵入やハッキングの80％以上は盗まれた（パスワードなどの）認証情報が発端になる」

　「マスターパスワードの廃止によりフィッシングに強いアカウント作成が可能になる」とDashlaneの幹部は述べた。同社は、ヘルプデスクへの問い合わせの20〜50％がパスワードのリセットに関連するというGartnerによる見解を引用した。つまりユーザー側もパスワードの管理に苦労していることが分かる。

出典：Google, Dashlane separately move to eliminate passwords（Cybersecurity Dive）

注1：The beginning of the end of the password（The Keyword）

注2：INTRODUCING PASSWORDLESS LOGIN FOR DASHLANE（Dashlane）

注3：Phishing, king of compromise, remains top initial access vector Published Feb. 22, 2023（Cybersecurity Dive）