本人確認

数日前の記事ですが、Yahoo! JapanがID/PW認証から、スマホへのSMSコード送信入力に切り替えていくという記事。いろいろなサービス、仕事もプライベートも含めて、今ではネット上で作業することがほぼ100%になってきていて、その為に様々なサイトにアクセスする時にはID/PW認証が普通。仕事などの場合、ID/PWをドメインで一括管理して、それを使用する場合は共通に利用出来たりすることもあるけれど、基本的にサービスによってIDが異なれば、PWも異なるものを使うべきで、これが頭が痛い。私も、50個位のID/PWの管理が必要なので、毎回更新時には頭が痛いのですが、さらにちょっと頭が痛いのが「二段階承認」。

安全性は確かに増しますが、二段階承認のコードを取得するための方法が別途必要。今利用しているのは、GoogleのAuthenticatorが一番多くて、その次に多いのがSMSによるコード取得。この方法の困るのは、SMS受信出来る所にいないといけないことで、通常国内で利用する分には良いんですが、海外などに行くと困るんですよね。電話番号を登録している場合は、事前に海外の番号を登録しないと駄目だったりして、現地で焦ったりするわけですし。確かに、その都度本人確認出来ることは便利なんだけど、出来る時と出来ない時があって、その出来ない時にこそそのサービス一番使いたい時だったりするのが現実なんですよねぇ...

虹彩とか指紋に静脈と、生体認証は今のところ一番確実な本人確認方法だと思うけれど、その為には専用の端末というかセンサーが必要で、これも自分の手持ちシステムに内蔵されていることが必須になるし、困るのは外出などした時に共用端末などで利用出来ないこと。何か良い方法は無いかなと思っているんですが、個人的に「これ、結構使えないか?」と思うのが、最近ホテル等で採用しているBluetoothのBeaconを利用したデジタルルームキーを転用する方法。例えば一週間毎に登録したスマホにデジタルキーが転送されていて、それを利用すればアクセス出来るとか。「いゃ、それスマホ盗まれたら駄目じゃん」という話だけれど、それってSMS通知方法でも同様なわけで、その点の脆弱度は同じくらいなのかなと。

それこそ、スマホ利用をする時に、内蔵カメラでの顔認識に虹彩認識、あるいは指紋認証など、幾らでも可能になるから、少なくともスマホが起動している時には本人が利用している、と思っても間違いないのでは。まぁ、テレビドラマなどで脅迫されていやいやスマホを使わされる場合は有るけれど、結局今必要なのはそう言う物理的なトラブル回避ではなく、ネット上で様々なサービス用のID/PWを使い回して共有していることで、一気にサービスが乗っ取られて成りすましされることの回避策が必要なわけだから、その為にはネット以外の外部で何か仕切る方法があれば基本的には安心なはず。で、そうなると、今度は物理的な盗難対策とか、また別の問題が生まれてイタチごっこになるわけですが。いつも思うけれど、結局最後は本人のDNA鑑定まで行くんだろうけど、でもそんなことがリアルタイムで可能になるようなな世界ではDNAの詐称なんて言うのも簡単にできるんだろうなぁと思ってしまう。ある意味、永遠に解けない課題なのかもしれない。