米Googleは同社サービス利用のために従来のパスワードではなく、携帯電話、あるいはUSBポートに挿入して"鍵"の役割を果たす専用ハードウェアを認証に用いることを検討しているという。もはやパスワードではサービスの安全性を守れなくなりつつあることを示唆しているのかもしれない。
Wiredによれば、Googleのセキュリティ担当バイスプレジデントのEric Grosse氏と同エンジニアのMayank Upadhyay氏は今月発行されるIEEE Security & Privacy Magazineにおいて、サービスの認証にこうした何らかの物理的"鍵"を用いる必要性を解説しているという。昨夏にWiredライターのMat Honan氏のオンラインサービスのアカウントが次々と乗っ取られた件は記憶に新しいが、その後、同年末にかけてGmailアカウントが次々とハッキングされてスパムの踏み台にされる事例の報告が相次ぎ、2段階認証を導入する機運が高まっている。ある意味で昨年2012年はパスワードだけに頼るオンラインサービスの脆さを露呈した年となったが、それら事件を教訓にセキュリティ強化を各社ともに検討し始めた。
前述のGoogleの2段階認証では、手持ちの携帯電話に認証コードを適時送信することで、当該の認証デバイスを持たない第3者がオンライン経由でのアクセスだけでサービスへのログインをできないようにすることが目的だ。また携帯電話以外でも、例えばYubicoの提供するUSBキーのような小型認証デバイス「YubiKey」を用いて、本人認証を行うことが検討されているというのが前述のGoogleセキュリティ担当者らの論文の主旨だ。
|
Yubicoの認証キー「YubiKey Nano」 |
Googleサービス利用開始時にこのUSBキーをPCに挿入することで自動的にサービスへとログインし、USBを抜けばそのままログアウトするといった具合になる。指紋認証などバイオメトリクスを使う方法もあるが、専用リーダーが必要な点で携帯電話やUSBキーのほうが使い勝手で勝る部分がある。いずれにせよ、今後物理デバイスを組み合わせたオンラインサービスの認証が一般化していく可能性が高いといえるかもしれない。
(記事提供: AndroWire編集部)
