パスワードの心理学 という記事。

わかりにくいが、パスワードは安全じゃない、もっと安全な方法がある、という内容。そのわりにそのもっと安全な方法が語られてないのが不思議。

実際は誰も強力なパスワードを頭で覚えておくことはできないから、必ずどこかにパスワードを書いておく必要があり、全然安全ではない運用になってしまっているはずである。

と、「決めつけ」によってパスワードの信頼性を揺さぶっているが、所詮決めつけでしかないので意味が無い。

写真を使う認証方法がいろいろ提案されているが、(中略)なんとなく認証が弱いように感じられてしまうから流行しないのかもしれない。

なんとなくじゃなくて実際に弱いという可能性は? というか写真で認証するっての、俺は寡聞にして知らないのだが、具体的にどんな方法なのだろう? ぐぐってもcaptchaくらいしか出てこないのだが。

写真を候補の中から選択し、アタリを引けば認証が通るというシステムだろうか? もしそうなら何個のダミーを用意すればパスワード認証と対等な安全性を確保できるだろう。10や20じゃきかないのは確かだ。写真だと思うから安全そうに見えるかもしれないが、実際はパスワードの候補が画面に並んでて、正しいパスワードを選択するというのと変わらないのだから。

パスワード認証ってのは、言わばサインだ。自分にしか書けないサインだから、認証に意味がある。

それに対抗できるだけの認証というと、鍵認証くらいしか思い浮かばない。これはハンコだ。ハンコの代わりに秘密鍵/共通鍵を所持してるかどうかチェックする事で認証する。

生体認証はハンコどころか自分の体そのものを認証に使うので安全だと思われがちだが、盗まれたときの被害を考えてない事も多い。ハンコは盗まれても財産が無くなるだけですむが、体を盗まれるということは命やそれに準ずるものを失うことになる。生体認証は単体で利用してはいけない。パスワードの代わりではなく、IDの代わりだと思うくらいが無難だろう。

結局パスワード認証がもっとも手軽に安全性を得られるのだ。もし本当にもっといい方法ががあるというなら、せめてポインタくらいは示してもらいたい。反論するにも仮定を重ねなきゃならないようでは、なんにもならないのだから。

(@431)