パスワードは今年で 65 歳になる。1961 年、MIT の Compatible Time-Sharing System(CTSS)の機能として、コンピュータユーザーの日常に登場した。それ以前は、システム管理者は本当の意味でのシステム管理者だった。すべてのジョブは彼らを通して一つずつ処理され、他の者によるアクセスは石板に刻まれた法律によって禁じられていた(編集部註:旧約聖書の十戒のパロディ)。
多くの人々、特にシステム管理者たちは、エンドユーザーによる直接アクセスの導入を「疫病と混沌をもたらした忌まわしきもの」と考えている。彼らの言い分は正しいのかもしれない。それでも、我々は今やこの神なき世界から逃れられない。パスワードは定年退職の年齢に達したが、自発的にも強制的にも消え去る兆しはない。そして不幸なことに、パスワードは65年も働き続けて疲労困憊、もはやセキュリティを守る体力は残っていない。
●この 2 週間だけで発覚した新たな脆弱性 3 つ
過去 2 週間だけでも、パスワードセキュリティに関する 3 つの新たな問題が明らかになった。ひとつは「賢すぎるコンパイラが時間ベースのパスワード攻撃に対する保護を最適化で削除してしまう問題(註)」、もうひとつは「アーキテクチャ的に侵害されないはずのパスワードマネージャーが実は完璧ではなかった問題」、そして最後は「 AI に強力なパスワードの生成を頼むと一見正しいが実際にはそうでないものを返してくる問題」だ。
(編集部註:パスワード検証の処理時間から正解を推測されないよう意図的に入れた遅延処理をコンパイラが「無駄なコード」と判断して勝手に削除してしまう事象)
あなた自身は LLM にパスワードを頼まないかもしれないが、もしあなたのパスワードマネージャーがパスワードを提案してきたら、それはどうやって生成されたものだろうか?
パスワードマネージャーの問題はそれだけではない。ほとんどの人は Apple や Google が提供するものを使っている。両社はアメリカ企業だ。つまり、あなたが米国の制裁リストに載ったり、当局の不興を買ったりすれば、Apple も Google もあなたのアカウントを凍結する法的義務を負っている。自分のデジタル資産を自分で完全にコントロールできる権利「デジタル主権」には、当然、すべてのパスワードが消えてしまうことなどないことも含まれているはずだが、あなたにその主権はないのだ。
