認証について、考える機会があった。というのも、近い時期に別々の会社から逆方向への変更が通知されてきたからだ。
ゆうちょ銀は、送金時のメールによるワンタイムパスワードをやめて、アプリまたはトークンによる認証に変更する(4月から)とお知らせが来ていた。いっぽうJCBは、今後アプリによる認証をやめてメールまたはSMSでのパスワード発行にするとのこと。
どちらにもそれなりに理由があってのことなのだろう。また、それまで使っていたシステムを変更するのにはそれなりにカネがかかるとはいっても、慣れて同じものを使いつづけるとどこかに穴が生まれやすいため、対策も必要だ。ソフトウェアやシステムの運営をどこに委託するかなどの切替タイミングなどで、何らかの大きな変化が定期的に発生するのは自然のことと思う。
それに全社が一斉に「これがトレンド」とばかりに同じ認証方法に飛びついたら、危険性はかなり高くなる。
もっとも利用者にしてみれば「使い方に慣れたところで変更か」という不満につながる可能性もあるが。
そういえば——
いい加減にやめればいいのになぜ使いつづけるのか不思議だが、一部の「お堅い系」の企業では、いまだに「1通目のメールで本文と添付ファイル、つづく2通目で添付ファイルを開くパスワード」というものを、送ってくることがある。別のメルアドにではなく、時間をあけるでもなく、直後に「先ほどのメールのパスワードは」と送ってくるのは、意味がわからなすぎる。
誰かにメールの内容を傍受されている危険性を考えての措置ならば、2通目は別のメルアドに送ってくるか、あるいは会員制のサイトで個人的なやりとりの欄にパスワードを書けばよいのだ。メールアドレスとその会員制の場所との関連性が把握されていないならば、そこそこ安全であるはず。
いろいろなことがオンラインでできるようになってきた昨今、利用者がパスワードの使い分けに苦労するのも事実で、人によっては紙に書いて保管したり、すべて同じパスワードで押し通したりする可能性もある。利用者のそうした油断から広がるリスクを低減するために、企業としては利用者にとって「適度にめんどくさい」ものを、あれこれ考えつづけていくのだろうな。