これ行きたかった。
基調講演で元安全保障担当特別補佐官だったリチャード・クラーク氏が
特にユーザー認証について、パスワードによる認証ではセキュリティの確保に限界があるとして、パスワードの別の認証方法を組み合わせたいわゆる「2要素認証」による認証を政府、企業、個人の別を問わずできるだけ早期に導入すべきであると主張した。
と述べられたらしいですが、ID/パスワードによる認証は既に脆弱であって、「2要素認証」が必要ということはセキュリティ関係者の間では周知の事実、というか常識。
パスワードは十分に長いもので第三者に推測されにくいものであれば、比較的に安全です。(最近は、長い文章という意味で、"パスフレーズ"という言い方をする場合が多いですね。)しかし、そのようなパスワードは本人も覚えておくことが難しいです。さらに、覚えられないからといって、付箋紙に書いてPCに貼り付けてしまうようではさらに脆弱ですし。
で、パスワードを置き換える、またはパスワードと併用できるBestな認証方法を模索しているところです。
最近、銀行関連で導入されている手のひら静脈認証や指静脈認証がそれにあたりますね。
銀行のATMで認証する際にはこのようなバイオメトリクス認証装置を用意できますが、自宅でWebブラウザを使っているユーザにたいして追加装置の購入をお願いすることも難しいです。ですので、Internet、Webサイトの認証はいつまでたってもID/パスワードだったりするわけです。
このように自宅や企業で低価格で追加できて安全性の高いデバイスを併用する必要があります。最近、有力ではないかと思われるものは、USBトークンと呼ばれるものですね。(USBメモリのような形をしたもので、そこにWindowsのパスワードや暗号鍵を格納しておき、そのUSBメモリを持っていて、接続しないとWindowsにログオンできないようにしたりとか。)
