セキュリティ事故のニュースを目にしない日はない。
だがいずれ、セキュリティ事故のニュースは減っていくだろう。技術やリテラシの向上によって、セキュリティ事故が減るから? そうではない。あまりにも頻発して、ニュースバリューがなくなるからである。
SNSのパスワードが漏れて、自分のアカウントが乗っ取られ、愉快な写真(自分にとっては不愉快な写真)をさも自分のもののように投稿されたり、友人に悪徳商品の勧誘メッセージが送信されたりといった事例は、枚挙にいとまがない。
それこそ、ニュースバリューがないほど日常茶飯事化しているので、よほどのことがなければ報道されることもない。
では、なぜここまでセキュリティ事故が日常に同衾するようになってしまったのか?
もちろん、世の中のほとんどの事象がそうであるように、一つのものに責任を帰することはできない。だが、非常に大きな部分を「認証(本人確認)の手段としてのパスワードが持つ欠陥」が占めていることは間違いない。パスワードはよくない認証技術である。
では、なぜよくない技術が隆盛を極めているのか?
念のために付言しておくと、パスワードは唯一無二の認証手段ではない。本人を確認するための手段は、鍵にしろ面通しにしろ生体認証にしろ、昔からたくさんある。そのなかで、どうしてパスワードだけがインターネット業界の勝ち組なのだろうか。
もちろん「安いから」である。
実際、パスワードにはほかにパッとしたメリットはないのだ。漏れやすく、破りやすく、扱いづらい。言葉を飾らずに言い切ってしまうと、認証手段としてはほぼ欠陥品である。
しかし、安さは往々にして他のマイナスをまとめて無効化してしまうほどの美点だ。特に、情報システムの場合は、リスクを移転することができるからなおさらである。
リスクはどこへ移転されるのか? もちろん利用者にである。
パスワードとは、ある知識を知っているかどうかで本人か否かを判別する、「知識による認証」である。合言葉のようなものだ(厳密には区分されるが)。
鍵のような有体物と違って、ちょっと独り言をつぶやいただけで漏れる可能性があるのだから、これはもう構造的な問題であって、小手先の改善策で劇的に安全性が向上するような事態は望むべくもない。
しかし、私たちはかれこれ数十年も、この欠陥品につきあってきた、つきあわされてきた。ただ安いだけなら、ここまで続かなかったはずである。