パスワードの発明時にはインターネットでの使用が想定されていなかったことや、データ漏洩がデジタルの時代にもたらした影響、そして昨今のプライバシー意識の高まりを考慮すれば、変革が必要なのは明らかです。
パスワードは、かつては最も信頼できるセキュリティ対策のひとつでしたが、ここ10年で、ひとりの人が第三者にさらすデジタルフットプリントの平均数は益々多くなってきました。いまや、平均的な消費者は、191組以上のユーザー名とパスワードの組み合わせを管理。人々が、さまざまなサービスの本人確認に、同一のパスワードや配列を使い回ししているのはほぼ間違いないでしょう。
パスワード盗難 ダークウェブ上で売買される危険も
昨今のデータ漏洩のほとんどは、盗まれたパスワードによるもの。サービス利用に必要な個人情報や認証情報を含む何ギガバイトものデータが、デジタルプラットフォーム上に蓄積されている中で、ハッカーの侵入は以前よりずっと簡単になっています。銀行口座やウーバーのアカウント等へのログインに必要な認証情報が、今や「ダークウェブ」上でたった7ドルで売られているのです。(*ダークウェブとは、匿名性保持や追跡回避の技術が使用されており、専用ソフトを使用しないとアクセスできないウェブサイト)
暗証番号やパスワード、パスフレーズ、その他何であれ、覚えておく必要があるものを用いるナレッジベース認証は、利用者にとっての頭痛の種であるだけでなく、システムの維持にも莫大なコストがかかります。サイバー攻撃対策費用を除いたパスワード管理のコストだけでも、例えば従業員がパスワードでのログインに失敗した際にIT部門への問い合わせ等で失う時間の機会費用は、1件あたり70ドルに上ります。また、ヘルプデスクへの問い合わせは、最大50%がパスワードの再設定に関するもので、コストはかさむ一方です。
サイバー犯罪者が喜ぶパスワードの数々 イメージ: Statista / SplashData
パスワードはただ管理しにくいだけでなく、不便で安全性に欠け、費用も高額。ガートナーは、2022年までに大企業の60%と中規模企業の全てにおいて、パスワードの使用が半減されると予測しています。一体どうすれば、そのような未来が実現できるのでしょうか?
プライバシーは守られているか?無料サービスの落とし穴
パスワードに頼らないマーケットと、利用者が最終的に自身のデータを管理できる環境を作るため、いくつかの取り組みが既に始まっています。政府による初めての大規模な取り組みとしては、EU一般データ保護規則(GDPR)と、カリフォルニア州プライバシー権施行法が挙げられます。
消費者は「無料」のサービスに慣れきっていますが、そういったサービスは、結局は利用者自身のデータを明白な同意や通知なしに売り渡すことで成り立っています。しかし、利用者の抗議の動きは広がり始めています。例えば、イリノイ州ではフェイスブックに対する集団訴訟が起き、スウェーデンでは、顔認識技術を不適切に使用していた学校に対しデータ保護局がGDPRに基づく国内初の罰金を課しました。