1月14日(木)付けネットニュース(こちらを参照)でビットコインのパスワード管理について取り上げていたのでその一部をご紹介します。
・10年前、サンフランシスコ拠点のIT専門家ステファン・トーマス氏がWeUseBitcoinsという名前の企業の、トークンがどのように機能するかを説明する動画を制作するためスイスで働いているときに、なんと7002BTC(2億4100万ドル)を渡されたとメディアは説明している。(BTC:ビットコインの通貨単位)
・報道によれば、トーマス氏はトークンをウォレットに入れ、IronKeyと呼ばれる小さなハードドライブに秘密鍵へのアクセスを含め、すべてを隠した。ハードドライブはパスワードで保護されていて、パスワードの入力を10回失敗すると、ウォレットは暗号化され、トークンへのアクセスを奪われてしまうようだ。
・トーマス氏は紙にパスワードを記録していたが、1年以内に紛失してしまったと話している。ウォレットにアクセスしようと8回挑戦したが、失敗に終わり、永遠に締め出されるまで2回しか残されていない。
・暗号資産の世界は暗号資産を保護できる利用者に分かりやすい解決策を求めている。報道されたように、「ソーシャルリカバリーウォレットと呼ばれる新しい種類のスマートコントラクトという代替案」がある。また、バックアップのパスフレーズを書き留め、保管する必要性のないシードレスウォレットに取り組んでいる開発者もいる。
以上、記事の内容の一部をご紹介してきました。
今や、銀行をはじめ、クレジットカードやネット通販などいたるところで個人認証の手段としてパスワードが使用されています。
そして、このパスワード設定の際にはそれぞれのサービスによって、桁数や使用文字の種類などの制約があります。
ですから、ユーザーは出来るだけ覚えやすくするために一つのパスワードで全てのサービスに応じたいところですが、必然的にサービスによっては異なるパスワードを設定せざるを得ません。
しかし、個々のパスワードは覚えきれませんからサービスとパスワードとの対応表のようなものを作成し、紙やパソコン内部、あるいはUSBメモリーなどに保存して管理することが求められます。
普通は、パスワードを設定する際に、先ほどお伝えしたように出来るだけ同じものを設定しますから、こうした設定であれば、あまり忘れることはありません。
しかし、自分にとって重要なサービスの場合だとあえて分かりにくいパスワードを設定しがちです。
それが裏目になって、きちんとしたパスワード管理がなされていないと正しいパスワードが分からなくなり、サービスプロバイダーに助けを求めます。
そして、サービスプロバイダーはパスワードに代わる本人確認データ(名前、生年月日、メールアドレスなど)を確認してパスワードの再設定を出来るようにしています。
あるいは、パスワードを忘れた際の、パスワードを思い出すためのヒントをあらかじめ登録しておいて、それを表示しもらい思い出すといった手段もあります。
ですから、パスワードを忘れてもこうした救済措置があるので安心してサービスを受け続けることが出来るのです。
ちなみに、こうした手段はまさにパスワード忘れリスクの対応策、すなわちコンティンジェンシープランと言えます。
ところが驚くことに今回ご紹介したように、仮想通貨のビットコインのパスワードは10回間違えると永遠にビットコインから締め出されるというのです。
要するに、ビットコインには最後の頼みとなるコンティンジェンシープランが用意されていないのです。
本来、高額の場合には何百億円、あるいはそれ以上とも言われる仮想通貨による貴重な財産を扱うビットコインのようなサービスこそパスワードを忘れた際のコンティンジェンシープランがなければ、こうしたサービスとして相応しくないのです。
最近、セキュリテイ関連サービスプロバイダーの提供するアプリを導入していれば、クラウド上でパスワード管理をしてくれるサービスもあり、個々のパスワードを覚える必要はないという状況ですが、全ての人がこうしたサービスを受けているわけではありません。
いずれにしても多くのサービスは個人情報、あるいは財産などの保護のために個人認証が前提になっています。
そして、その手段の多くはパスワードに依存しています。
そしてパスワード管理はとても煩わしいので、何とか早くどんなサービスにも共通して使えるパスワードに代わる、汎用的で確実な本人確認の方法を実現させて欲しいと思います。