「小飼弾の論弾」で進行を務める、編集者の山路達也です。
今回は、5月9日(月)に配信した、ユーザーインターフェイス研究の第一人者、増井俊之さんとの対談テキスト(全3回)をお届けします。

次回のニコ生配信は、7月24日(月)20:00の「小飼弾のニコ論壇時評」。旬のニュースをズバズバ斬っていきます(21:00頃からは、通常の「小飼弾の論弾」になります)。

お楽しみに!

2017/05/09配信のハイライト(その3)

  • パスワードはオワコン?
  • 自分だけの記憶からパスワードを生成する「EpisoPass」
  • パスワードよりもマシな認証方式はありえる?
  • アプリという呪縛から抜け出すには?
  • コンピュータにコードを打ち込むことだけがプログラミングじゃない

パスワードはオワコン?

山路:多くの人が昔ながらのことにとらわれているということで、次はパスワードの話に行きましょうか。
 通販サイトなどWeb上にある多くのサービスを使うには、アカウントとパスワードが必要です。しかもパスワードの使い回しはやめてくれと言われたりして、もう人間にはコントロールしきれなくなってきているように思うんですよ。最近、増井さんもパスワードで大変困られたそうですね(笑)。

増井:パスワードの学会で発表してきたくらいなんだけども、それなのに自分のTwitterアカウントがクラックされてしまって(苦笑)。パスワードの歴史はすごく古くて、コンピュータが登場した頃からあります。もちろん厳しくなってきたのは最近なんだけど。昔はパスワードはあってもいいという程度だったのが、強いパスワードにしましょう、絶対使い回しはダメ、2段階認証にしなきゃダメとなってきました。そのうち、5段階認証くらいにしなきゃダメということになるんじゃないですかね。
 なぜそんなパスワードがまだ使えているかというと、パスワードという認証方式はそんなに悪いものじゃないんですよ。
 パスワードに変わる認証方式というのは何十年も考えられ続けているんだけども、パスワードよりも絶対に良いというのがないんです。

山路:最近iPhoneでも、指紋認証が使われるようになったりしてますけども、そういう生体認証みたいなものがパスワードを置き換える未来というのはありえないんですか?

増井:そういうパスワードの置き換えはいっぱいあります。生体認証もそうだし、クイズを使うというのもそうかもしれません。ところが、どの方式にもいいところと悪いところがあって、それらを全部考えてみると、パスワードが一番いいということになっちゃうんですね。僕はパスワードは完全とは言っているわけではなく、他よりはマシかもしれないと言っているんです。

山路:でも、膨大な数のパスワードを覚えて使うことは、普通の人には大変になってきているんじゃないですか。

増井:もちろんそうです。パスワードがダメだと言ってもその認証方式自体を変えるのは難しいので、パスワードの運用を考えざるをえないんですよ。
 パスワード運用として、一番いい方法と言われているのが、パスワードマネージャーという管理用ソフトを使うというものです。

山路:私も1Passwordというパスワード管理アプリを使っています。パスワードを尋ねてくるWebサイトがあったら、パスワードを自動で入力してくれるというものですが、増井さんとしてはまだ不満がありますか?

増井:1Passwordは確かによくできたアプリですが、あれはあれで別のことを覚えないといけません。例えば、1Password自体のシークレットキー自体は、ユーザーが管理する必要があります。そのシークレットキーは印刷して引き出しにしまっておけとか、そういうことになるわけです。それは、ダサいじゃないですか。
 つまり自分では覚えられないものが存在していて、それを管理しないと、1Passwordを安全に使うことはできないわけですよ。それだとやっぱり抜けがあると思いませんか。1Password自体のパスワードを忘れたら、1Passwordはもう使いものにならなくなるわけですよ。

山路:私も、忘れたらどうなるんだろうと思って、ちょっとヒヤヒヤしながら使っています。

増井:それはアウトですよ!(笑)

小飼:要は、鍵がいっぱいあって大変だから、鍵束をまとめて管理すればいいじゃないかというのが、今の落としどころだけど、その鍵束を落としちゃったらどうしようという。

増井:2段階認証も同じ問題があります。2段階目のスマホをなくした場合のために、リカバリーコードを覚えておかないといけないんですよ。

山路:リカバリーコードは、印刷して財布にでも入れておくしかない。

増井:それ面倒くさいじゃないですか?それだったら、最初からパスワードを財布に入れておけばいい。

自分だけの記憶からパスワードを生成する「EpisoPass」

増井:私が提案しているのは、パスワードを覚えるのではなく、自分が忘れないことを基にしてパスワードを生成しようということです。これは、実際のサービスとしてすでに運用しています。

山路:それがEpisoPassなんですね。

増井:実際どう使うというと、例えば私のTwitterパスワードはどれかっていうと、(画面を映しながら)これです。

山路:みんなに公開しちゃってるんですね!

増井:どうしてこれで大丈夫なのか。例えば、一番左上「自費出版していたのは?」という質問があって、いろんな人の名前が挙がっていますけど、選択した答えによってパスワードが変化するんです。「バックハンドキャッチしたのは?」という質問でまた別の人を選ぶと、こう変わる。

山路:「バックハンドキャッチした」とか「自費出版した」というのは、増井さんだけが知っている思い出ということですか?

増井:そうです。どこで誰が自費出版したのは書いてませんから、自費出版したのは誰か? と言われてもわからんでしょ。誰に聞いてもわかんないと思いますよ。

山路:ここに挙がっている人は増井さんのお知り合いなんですよね。

増井:そりゃそうですよ。「ソニーにいたのは誰ですか」とか調べればわかる質問もありますけど、かなり難しいものも多いですよ。

山路:「意外に足が遅いのは?」って(笑)。

増井:まあ失礼な話ですけど、答えは書いてないからいいかなと。

山路:「愛知の軽トラは?」とか、わけがわからないですよ(笑)。

増井:意味がわからないでしょ? 私が愛知で軽トラに乗ったか、乗せてもらったか、見たか、そんな経験なんですが、そんなの他の人にはわからないじゃないですか。
 それぞれの質問には選択肢が30くらいあるので、30の10乗くらいのパスワード強度は、あるということになります。
 もちろん、ブルートフォースアタック(総当たり攻撃)で解くことはできますよ。すべての質問の答えを総当たりで探していけば、もしかしたら当たることはあるかもしれません。でも、それが本当のパスワードかどうかを実際のサービスで試してみることはできません。
 サービス側からパスワードが流出することはありえますが、その場合はどんな人のパスワードも知られてしまうわけですから。だから、パスワードを使い回ししないことが大事になってきます。EpisoPassでは、サービスによって全然違う問題を使うことにしています。

山路:また違う問題が出てきましたね。「岡田町のアパートは?」って(笑)。

増井:何のことでしょうね(笑)。
 
小飼:「イジメッ子は?」って(笑)。けっこう剣呑な質問ですね。

増井:ヤバいですね。

山路:「青酸カリを秘蔵していたのは?」って!

増井:名前のリスト自体は秘密じゃないんですよ。最後なんてヒドイですから。

山路:「合宿でHするのは?」(笑)

増井:まあ、そういう謎の問題をいっぱい出しておくと、仮にTwitterパスワード用の答えが漏れたとしても、Facebookのパスワードは大丈夫ということになるんですよ。
 問題は、こういう質問を作るのが大変ではないかということ。でも、気づいたんですが、誰かの名前を挙げて「その人について思い出がありませんか?」と聞いたら、何か思い出すでしょう?
 知り合いに鈴木さんの1人や2人いると思いますけど、その鈴木さんを思い出していただいて、その方がどんな人だったかを問題にすればいいんです。

山路:なるほど。

増井:答えを先に作っておいて、後から問題を作れば意外と簡単に作れます。「誰かを思い浮かべてください。その人はどんな人でしたか?」という聞き方をすれば、聞かれた人以外に答えはわかんないですね。かなり耄碌した人でも、これくらいはできるんじゃないかと思ってまして。

小飼:普通のサービスでは、サービスの提供側が質問を用意しますが、質問を自分で考えて作れるというのはいいですね。この仕組みは他のサービスにも容易に組み込めるんじゃないでしょうか。

増井:地名バージョンもあります。これの場合は、自分が行ったことのある地名を並べて、「ビールを買えなくて困ったのは?」という質問を出しています。なかなかわからないんじゃないかと思いますけどね。

山路:絶対わからないですよ。
 「変な中華を食ったのは?」、「変なタワーを見たのは」、「ライブハウスで怒鳴られたのは?」(笑)
 なんか嫌な思い出が多いですね(笑)。

増井:それがEpisoPassのいいところですよ。いい思い出だと、他の人に喋っちゃってるかもしれないじゃなですか。「トイレで苦労したのは?」とか、こんなこと人には喋らないですから。

山路:「宿泊拒否されたのは?」(笑)悲しい。EpisoPassを使うたびに悲しい思い出がよみがえりませんか?

増井:それはしょうがないですね(笑)。

山路:パスワードを使うサービスが、20個、30個になってきたら。

増井:それほど重要でないサービスについては多少使い回して、重要なサービスについてだけ全然違うパスワードを使うようにすれば大丈夫でしょう。

山路:最近は、GoogleやFacebookのアカウントを使ってログインできるサービスも増えていますしね。

増井:そうですね。その場合はGoogleやFacebookについてだけ覚えていればいいでしょうね。