IDとパスワードだけの認証はもう既に限界である
AI や機械学習の発達、流出したパスワードの公開サイト等、個人の持つ情報が脅かされることが多々起きている。 Google アカウントの乗っ取り、docomo での不正購入といった感じに実体験やニュースでわかるようになってきている。 多くの場合、IDとパスワードによる認証が行われている。 アメリカやメキシコ、中国といった国からのアクセスでも気にせず、IDとパスワードが一致していればいい。 正直なところ、位置偽装なんて簡単なので最近では国内からのアクセスもあったりなかったり。
グーグルの2段階認証、SMSからプロンプト方式への移行を推奨 - CNET Japan
この記事は去年のものだ。 SMS による2段階認証は既に危険視されている。 docomo ではようやく SMS による2段階認証を行うようになったところだというのに。 2段階の認証ですら突破されるのだからIDとパスワードだけでは何も守れない。
つい最近知ったのだが、関西電力が利用明細を強制的に廃止し、はぴeみる電とかいうサイトで見るようにしたらしい。 インターネットを利用していない人のことを一切考えずに一方的に変更した。 請求書を渡さずに徴収する行為は詐欺に等しく非常に危険なので法律で禁止すべきなのだが、 そこまで考えがいかない人たちが実権を握っているので日本では全く期待できなくてつらい。 で、なんと恐ろしいことに勝手にIDとパスワードが既に発行されているらしい。 しかも案内は1度きり。利用者は明細が来なくなったとしか思っていないが、裏ではアカウントが勝手に作られている。 どう考えても高齢の利用者達が理解しているとは思えない。 利用者本人達が使えないものに社会インフラを移行するのはいかがなものかと。 電気がなければインターネットすらまともに利用できないというのに。
勝手に作ったIDとパスワードがハッカーらによる解析で突破されたらハッカーの手助けをした企業になりますよ関電さん。
ID/パスワード方式は人に優しくない。 利用者はサービスごとに複数のパスワードを覚えておかないといけない。 提供者はID/パスワードの入力者が悪人かどうかの判断をしなければいけない。
現実的に考えて無理である。限界である。
人を判別するにはID/パスワードでは足りない。 まずは物理的位置を活用することを頑張ってほしい。 もちろん GPS 以外でね。