パスワードは今年65歳になる。1961年、MITの互換時分割システム(CTSS)によってコンピュータユーザーの生活の一部となった。それ以前は、システム管理者は本当のシステム管理者だった。すべてのジョブは彼らを通じて一度に1つずつ処理され、他のアクセスは石に刻まれた法律によって禁止されていた。
直接ユーザーアクセスの導入を疫病と混乱をもたらした忌まわしい行為と考える人は多く、ほとんどがシステム管理者だ。彼らの言い分は正しいのかもしれない。しかし、今は神のない世界に閉じ込められている。パスワードは定年に達したが、自発的にも強制的にも消える兆候は見られない。残念ながら、パスワードはその役割を果たすことに失敗している。
この数週間だけでも、パスワード保安に3つの新しい問題が現れた。高度すぎるコンパイラは時間ベースのパスワード攻撃に対する保護を最適化によって無効化し、建築上は妥協できない設計であるはずのパスワードマネージャーも結局のところ完璧ではないことが判明し、AIに強いパスワードを生成するよう求めると、正しく見えるが実際には違うものが得られるかもしれない。LLMにパスワードを生成するよう求めないかもしれないが、パスワードマネージャーがそれを提供している場合、どのように生成されているのだろうか?
これはパスワードマネージャーの唯一の問題ではない。ほとんどの人がAppleとGoogleが提供するものを使用している。両社はアメリカ企業であり、気に障ることをした場合、彼らのサービスへのアクセスを取り消す必要がある。デジタル主権とは、パスワードがすべて消えることがないことを意味するが、あなたはそれを持っていない。
我々の時代遅れのセキュリティ文字列に公平に言うなら、これのいずれもパスワードに固有のものではない。適切に指定され実装されたパスワードシステムが、適切に教育され動機づけられた人々によって使用される場合、誰もが望むほど安全である。ここに問題がある。
もちろん、それはさらに悪くなっている。エージェント型AIの全体的な考えは、エージェントがあなたに代わって行動するためにはあなたのアクセス権が必要であるという仮定に釘付けにされている。業界全体のベストプラクティス、固有の管理原則、実際に固有のものがないため、これはAIエージェントにパスワードを与えることを意味する。健全で敬虔な世界ではあなたはそうしないだろう。代わりに、我々は、OpenClawのようなエージェント型AI vibe-coded多角形が存在するのを目撃した。これはロボット間の情報交換の全世界的な饗宴を促進し、シリコンコンドムは1つもない。我々は「何が悪くなるはずだったのか?」の最初の音節を言う時間しかなかったが、それは起こった。
エージェント型AIを安全に保つための答えは、それを使用しないことだ。言わずもがな、あなたのOSをトップからボトムまでエージェント型と宣言することだ、Microsoft。それを使用したい場合は、特権の分離、セキュリティセグメンテーション、デジタル環境を悪戯好きなジンの宇宙と共有するときに必要な他のすべての良いことを理解し、適切に実装する必要がある。Fantasyの魔法使いの弟子のシーンを見直してリフレッシュしよう。
それ以外のすべてについて、良いニュースは、1960年代初頭以来、パスワードをはるかに安全にするためにかなりの進歩があったことだ。人間の手の中でも、または全く必要ではなくても。ほとんどの人は、1日に複数回、デバイス上のローカル指紋またはフェイシャル認識を使用してこれらの技術を使用している。パスワードの最も弱いものであるPINは、3ストライク または率制限ロックに支えられている場合、十分に良好である。
これまでのところ、実装と可用性は十分に良好で、ほとんどのユーザーがそれらを確実に使用することができる。主に、それらを台無しにするのが非常に難しいためだ。ただし、それらをオンラインサービスに拡張することは別の問題であり、複数のデバイス間でサービスセキュリティを管理することも同様だ。2要素認証とパスキーは原則的には細目だが、実際にはそれほど多くはない。
2要素認証を例にしよう。SMS、認証器アプリ、デバイスの生体認証、または物理的なセキュリティキーなどのオプションがたくさんあるが、すべてはソーシャルエンジニアリング、デバイスまたはアカウントの損失、または不安定な互換性に関連した異なる問題を持っている。可用性さえも、期待する場所では保証されていない。あなたの素晴らしい新しいMac miniは、比類のない輝きを持つプロセッサーを備えているかもしれないが、Appleはフィンガープリントセンサーを忘れた。これは素朴なユーザーにとってナビゲートするのが複雑な状況だ。
現在実装されているパスキーはさらに悪い。基本的なテクノロジーが欠陥があるからではなく、説明するのが難しく、誤解しやすく、通常、素朴なものだけでなく困惑させることができるオプションを提供しているからだ。彼らはサービスとデバイス間のチャレンジ・認証チャネルで、以前に同意した暗号署名トークンに依存している。彼らは盗まれたり複製されたりすることはできず、厳密にはデバイスごとのシステムだ。それは誰にでも説明できることだが、おそらく異なる言葉でであり、利点が明確にされている。パスキーを使用すれば、パスワードが必要なくなり、より安全になる。
では、システムがクラウドベースのパスワードマネージャーにパスキーを保存することを提供している場合、それはどういう意味だろうか?いつもの通り、システムがパスキーの選択肢を提供し、一部が機能しない場合、あなたは何をすべきだろうか?サービスがパスキーを使用していない場合はどうなるのだろうか?
すべてがうまくいくとき、それ以上のものはない。オンラインサービスに移動し、システムがユーザー名を入力し、フィンガープリントセンサーをタップすると、ログインする。多くのプロセス、語彙、オプションが標準化されていない段階に到達することは標準的ではなく、何か問題が発生してロックされるという恐れを消すことは困難だ。CTSSから認証している人たちにとってさえも。
多くのセキュリティの問題と同様に、これはそれ自体が修正される必要があるソリューションだ。必要なのは、業界全体の共通メッセージ、標準化されたユーザーエクスペリエンス、カスタマー教育へのコミットメントだ。しかし、業界(プラットフォームメーカー、サービスプロバイダー、アプリビルダー)は、独自のガスの臭いに非常に陶酔していて、Apple Lightning症候群に完全に支配されている。すべてをより良くするだけの理由で、共通の標準に自発的に同意する以上の罪はない。
まあ、大変だ。パスワードは壊れており、より良いテクノロジーは無意味に曖昧にされており、1ヶ月間部屋に座って修正するのに時間をかけるのではなく、誰もがセキュリティに対して反ワクチンが健康な子供に対するのと同じ実験的AIに夢中だ。パスワードは年金に見合う唯一のアイデアではない。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/23/password_opinion/
