自分を証明するために鍵やカードやハンコなどが広く使われていますが、計算機の上ではパスワードがよく利用されています。指紋や光彩を利用する生体認証も最近注目されていますが、特殊な装置が必要になりますし、偽造も可能な場合が多いので、どこでも使える強力な認証手法としてパスワードの地位に揺るぎは無いようです。
パスワードを用いる認証方式は長年利用されているので、運用に関する多くの知見が存在します。システムを作成するときの注意点はよくわかっていますし、破られにくいパスワードの選び方や、他人に見られることなくパスワードを送る方法などについても深く研究されており、正しい使い方をする限り安全な認証手法であることは証明されています。
歴史が長いため、パスワードを破るためのノウハウも蓄積されており、普通に思いつく固有名詞を単純に利用するだけでは強度が不充分であることがわかっているため、単純なパスワードは登録できないような運用が行なわれていることもあります。私の以前の職場のシステムは、私が思いつくあらゆるパスワード文字列について安全性が不充分だといって拒否するので、頭にきてQWERTYキーボードを鍵盤楽器に見たててメロディを弾くという楽器手癖方式でパスワードを設定していました。
システムを安全に利用するために複雑なパスワードを考えかつ記憶する必要があるというのは、パスワードを用いる認証システムの本質的な問題ですが、システムの都合のために人間が難しいことを覚えなければならないという状況は天動説的並に間違っています。
安全であるとシステムに認めてもらうためにはランダムに近いパスワードを利用しなければなりませんが、そのようなものは記憶することが不可能ですからどこかにパスワードを書いておく必要があり、システム全体の危険はかえって増大してしまうことになります。よほど頭がサエた人がシラフの時しか安全に運用できないシステムというものは人間に優しくありませんし、パスワードを忘れてしまったユーザへの対応に追われるサービス提供者の頭痛も相当なものでしょう。
■画像認証
ランダムなパスワード文字列を覚えるのは無理なので、人間が認識しやすい画像を利用した画像認証の手法がいろいろ提案されています。たとえば下図のDéjàVuというシステムでは、ランダムに生成された数千のパタンの中から自分が好きなパタンをあらかじめ5個選んでおき、ログイン画面でそれを選択することによって認証を行なうようになっています。
幾何的パタンを覚えるのが苦手な人のために、人の写真を利用する画像認証システムも提案されています。下図のPassFaceシステムでは、パタンのかわりに人の顔を覚えて認証に利用することができます。
その他、画像の中の特定の点を指定することにより認証を行なう手法など、様々な画像認証システムが提案されていますが、どの場合も何かを無理矢理覚えなければならないということは共通しており、覚えるのが大変でかつ忘れる可能性があるという欠点はパスワードと同様です。
■自己主張を利用した認証
個人認証は基本的に「自分だけが◯◯できる××」とか「自分だけ△△したことがある▲▲」といった脳内情報を利用するのが適当であり、偽造や盗難の可能性がある手法は安全ではありません。特殊技能の持ち主ならば、自分だけの技を認証に利用することができます。私の場合は「聞いたメロディを即座に鼻歌と口笛の二重奏で再現する」といった
特技を利用した認証を利用したいところですが、こういう認証システムは私しか使えませんから商品化は期待できません。やはり自分だけが思い出せる情報や自分だけが知ってる情報を利用するのが正しいアプローチでしょう。
人間の記憶はいくつかに分類できると言われています。パスワードのような無機質な情報や数学公式のような意味記憶は忘れてしまう可能性が高いものですが、思い出のようなエピソード記憶はなかなか忘れません。特に、自分が書いた文章/自分が描いた絵/自分が撮影した写真のように、自分を主張するためにジマンパワーを発揮したものの記憶はなかなか忘れるものではありません。工夫して撮影した写真や、思い出の人や場所などの写真についても同様です。
自分だけが行ったことがある場所の写真や、自分だけが覚えている小さなエピソードに関連する写真など、ジマンパワーを内包する写真に写っているものは忘れることがありませんし、他人にはそのエピソードについての詳しいことはわからないのが普通ですから、そのような写真に関連する話をクイズとして認証に利用すれば、安全かつ忘れることがない理想的な認証システムを作ることができると思われます。
下図は、写真に関連するクイズを解くことによってmixiにログインするシステムの例です。ハリーポッターのキャンペーン期間中と思われるログイン画面の上に、自動的にクイズが表示されるようになっており、「この美女とデートしたのはどこか?」のような5択問題を正しく選ぶと正しいパスワードが入力されるようになっています。こういう美女とデートしたときの場所を本人は忘れるはずはありませんが他人にはわかりません。クイズをいくつか用意しておけば、安全かつ絶対忘れることのない認証システムとして利用することができることになります。
■認証システムの展望
サービス提供者がパスワードより有望な認証システムを思いついたとしても、それを採用したことが原因となってクラッキングが発生する危険を考えると、迂闊に採用する気にはならないと思われます。パスワードを利用するシステムはいくらでも現存するので、それを利用している限りサービス提供者やシステム開発者に責任問題が発生することはありません。パスワードの不便さに誰もが憤死しようとも、別の方式に取って変わられる日は遠そうです。
パスワードを根絶するのは難しいかもしれませんが、前述の画像クイズの方式のように、既存のシステムの上に別の認証方法を重ねて利用することによってパスワードの欠点を軽減することは可能でしょう。写真以外のものを使う認証方法も無限に考えられますが、パスワード認証というインフラの上に、自己流の認証手法をパスワードに変換して使う手法がこれから有望だろう思います。