そんなニュースを目にしたので、ワクワクして記事を読んだんですけど、以前からある手法で、目新しさはなく。
私のトキメキを返してほしいわ。
ただ、Web技術の標準化を進める World Wide Web Consortium(W3C)が、WebAuthn の正式勧告を行った(強制力はない)ということで、今後 Webサービスでの導入が加速していくことでしょう。
W3CとFIDO Alliance プレスリリース
W3CとFIDO Alliance – パスワード不要の安全なログインが勧告化に
WebAuthn は生体認証と呼ばれる指紋、網膜等や、物理キー(USBメモリみたいなもの)、モバイル機器等を使って、認証をするものです。
その中で、公開鍵と秘密鍵が生成され、サービスには公開鍵が登録され、自分の手元には秘密鍵が残り、そこで照合をする仕組み。
公開鍵が流出してしまっても、秘密鍵とセットでないと使えないので、安全性が担保されると。
以前、Google の社内でフィッシングに引っ掛かる事象が多く発生し、対策として物理キーを導入しています。
その後は1件も発生していないというニュースもあり、その効果も実証済み。
ギズモード・ジャパン
Google社員のフィッシングを0にした物理キー。余りの効果に、Google「もう自社でつくる」、元祖のYubicoは苦笑い
ちなみに私は、git への接続とか、Raspberry Pi への接続に鍵を利用しております。
メールなんかでも使えますので、特に秘匿性の高いものは、鍵を使うのが良いかと思います。
ただ、相手に理解がないとできないので、私の周りではなかなかそこまでは・・・というのが実情。
ということで、私の場合は本当の個人利用ですね。
話は戻って、パスワードなんですけど、皆さんどうやって作って、そして管理していますか?
基本的に、個人から推測できるものはよろしくないので、私は意味を持たない英数字や記号等を組み合わせて使っています。
あと、流出したときの被害を最小限にするため、サービスごとにパスワードを用意しています。
よく、最後の一文字を変えたりとかする人がいますけど、私は完全に別のパスワードで、何の関連も持たせていません。
そんなことをしているせいで、自分の頭の中に入っているパスワードは、2個位しか無いんですよ。
覚えられないもん。(自業自得)
ということで、パスワードを管理するツールを使っています。
新たにサービスを登録するときにパスワードを用意しますが、それもこのツールの中でランダムに作ってくれるので、それを利用。
よく、最低8文字とか制限が付けられていますけど、そんなのは危ないと思って、20文字とか30文字とか平気で設定しますからね、私。
ちょっと病気かもしれません。
この管理ツール及びデータがなくなったら、えらいことになります。
そんな気苦労をしながらも、利用しているパスワードが要らなくなったら、本当にありがたいですね。
早く多くのサービスで導入していただくことを願います。
コメントを残す