インターネットの浸透により、ネット上でありとあらゆる業務や日常の買い物、行政機関とのやり取りも行えるようになってきています。
そうしたときに問題となるのが「個人認証」です。ネット上では相手の顔が見えない文字やデータでのやり取りのため、今端末を扱っている人間が、本当にその人なのかをどのように確かめるかが問題です。
現代では様々な生体認証の手法が開発され実用されています。行政機関ではICカードによるマイナンバーカードで”署名”することで本人確認をしています。
しかしながら、その簡便性と過去より採用されてきた方法として暗唱ワード、パスワードが今でも広く使われています。
パスワードは本人の頭の中にしかないという究極の本人認証の手段のため、適正に運用すればこれほど強力な個人認証方法はありません。
ご承知のように、昨今パスワードの危険性が叫ばれています。その大きな要因は、情報化社会が進んだことでパスワードを入力する機会が爆発的に増加したことです。パスワードを要求する数多の企業・機関が別個のパスワードを要求したため、個人が運用するパスワードが増えてしまい覚えていられないのです。あたかも、預金通帳ごとに別の印鑑を作ったのに、どの印鑑がどの銀行の登録印だったか分からなくなったように。
1つや2つのパスワードであれば、俗に強度の高いと言われるランダムでアルファベット、文字、数字、記号を組み合わせたパスワードを覚えて使うことも可能でしょう。ですがそれをいくつも間違えずに使うこと、そして半年ごとに変更しろと言われ、3回間違えたらロックされるなどといわれれば、普通の人は参ってしまいます。企業・機関の責任回避のためにあり得ないような努力を強いられるようになりました。
いきおい覚えやすい(強度の低い)パスワードを使いまわすしかありません。
それに危機感を感じた、「Pマーク」を発行する日本情報経済社会推進協会は認定時の審査基準を改定しました。これ自体は総務省の方針に従ったものだと言います。
複数の高強度のパスワードを要求するあまり、破られやすいパスワードが付与されるのであれば、いくつかの強度の高いパスワードを長く使い続けていた方がリスク低減につながると方針を転換しました。
システム的な発想で進めてきた情報化社会の大方針が人間臭い理由により変換せざるを得なくなったというのは、なんとも皮肉なことだと思いませんか?
