2018/06/04

多要素認証とユーザエクスペリエンスの問題を考える

username, password, id, auth
2018 年 6 月 4 日 Alexandre Cagnoni 著

パスワード流出の二次的被害

3 月 29 日 にアンダーアーマーの MyFitness Pal を使って食事の計画を立てていたところ、アカウント情報が流出したことを知らせるメッセージが送られてきました。つまり、私も、同社の個人情報流出で外部に持ち出され、ユーザ名、メールアドレス、パスワードが盗まれた 1 億 5,000 万人のユーザの 1 人だったのです。外部に流出したのは、平文ではなく、ハッシュされたパスワードですが、パスワードの複雑さによって異なるものの、経験の少ないハッカーにも解読されてしまう恐れは残されています。

私はすぐさま自分のパスワードを変更しましたが、それで安心というわけではありません。私を含む、いくつものオンラインのサイトやサービスを利用するユーザにとって、たくさんのユーザ名とパスワードの組み合わせを記憶するのはほぼ不可能です。そのため、多くのユーザが同じユーザ名とパスワードを繰り返し使うことになり、このことがとても大きな問題なのです。

サービス、オンラインアカウント、アカウントを登録する場所の数がどんどん増えれば、それぞれに一意のユーザ名とパスワードを設定して記憶できる人はほとんどいないでしょう。したがって、同じパスワードが繰り返し使ったり、サイトごとに数字などを少し変えてパスワードを設定したりすることになります。また、サイトによっては、パスワードを定期的に変更するよう要求されることもあり、過去のパスワードを記憶していて同じパスワードを繰り返し使用できない場合もあります。

パスワードの煩わしさとユーザエクスペリエンス

このような問題を解決する手段として、最近では、いくつかの方法の多要素認証(MFA)を利用できるようになっています。MFA では、標準のユーザ名とパスワード以外のものを使って、ログインしようとするユーザが本人であることを確認します。パスワードを 30 日あるいは 60 日ごとに変更するのではなく、認証のたびに新しいパスワードを作成する方法、パスワードを 30 秒ごとに変更するハードウェアトークン、SMS ベースのパスワード、秘密の質問。これらはすべて、単純なパスワードだけの認証に新たな要素を追加するための手段として使われるものです。しかしながら、セキュリティの強化によって複雑さが加わり、ユーザにとって面倒な作業が増える可能性も多いにあります。

ハードウェアトークンの場合は、どこに出掛けるにも持ち歩かなければならないという問題があります。SMS を使うという方法もありますが、世界中のどこでも使えるとは限りません。秘密の質問の場合は、答えを簡単に推測できたり、ソーシャルエンジニアリングで取得できたりする可能性があります。いずれにしても、何らかの不便さや欠点を伴うものであり、すべてのユーザに受け入れられる簡単な方法はありません。

私が以前に参加した、中南米の小売業や E コマースの企業向けのイベントで、ある会社の重役から、今でも忘れられない、優れたユーザエクスペリエンスに関するとても興味深い話を聞いたことがあります。彼が私に、「MFA で E コマースの詐欺が大幅に減ると考えているだろうが、良いことばかりではない。新しい仕組みを追加することで顧客にとって面倒な作業が増えれば、彼らは他で買物するようになる」と話してくれました。つまり、セキュリティとユーザエクスペリエンスの両方を向上させる方法を見つけることが極めて重要なのです。

プッシュ型テクノロジ – MFA のパラダイムシフト

スマートフォン時代が到来し、ほとんどのスマートフォンが Android または iOS のどちらかであることは、開発者にとってありがたいことと言えるでしょう。プッシュ型テクノロジは、一般的には、チャット、ニュース、さまざまなアプリケーションの通知に使われますが、もちろん、セキュリティのために使うこともできます。

プッシュ型の認証によって、これまでの MFA の使い方が大きく変わりました。ユーザ名とパスワードはこれまで通り入力することになりますが、アプリケーションで MFA を有効にしておけば、確認要求が携帯電話に送られてきます。持ち物が増えることもなく、面倒な質問に答える必要もありません。携帯電話はいつでも手元にあるため、一意の個人用モバイル認証をいつでも使ってユーザ自身を保護し、ユーザのアカウントを保護し、ユーザによるアクセスも保護できます。

MFA の常識もこのように大きく変わりました。プッシュ型メッセージを使うことで、MFA のユーザエクスペリエンスが大きく向上し、1 年に何回もパスワードを変更する必要がなくなり、認証情報のセキュリティも強化されます。

MFA を有効にしておけば、アンダーアーマーと同じユーザ名とパスワードを会社の VPN アクセスに使ったとしても、アカウントを不正使用される恐れはありません。流出した認証情報を誰かが使おうとすると、スマートフォンにプッシュ通知が送られてくるため、承認を却下すればよいのです。