大規模なデータ漏洩でパスワード問題が露呈 — 抜本的な解決策はやってくるのか？

“プライバシー優先”の考え方への転換の呼びかけ

16億件のログイン資格情報が漏洩した大規模なデータ侵害の衝撃的な発覚は、インターネットユーザーを新たな不安の波に巻き込み、サイバー犯罪者がすでに個人アカウントを盗んでいるという恐怖を引き起こしています。セキュリティ専門家がパスワードの即時変更を求める一方で、この反応的な対策は将来同様の侵害に対する真の防御策にはならないという重要な反論があります。

単にパスワードを変更するという従来の方法に焦点を当てる代わりに、Bitcoin.com Newsがインタビューした専門家は、最近の侵害が根本的なパラダイムシフトを必要としていると主張しています。彼らは、センシティブなユーザー情報を格納する集中データベースへの依存を放棄し、分散化を基盤としたプライバシーを優先する考え方を採用する時が来たと主張しています。

COTIのCEOであるShahaf Bar-Geffenも、歴史的に社会が「権威」と機関に信頼を置いてきた一方で、この考え方は私たちの生活をますます仲介する仮想空間では人々に役立たないと主張しました。

「伝統的な信頼に基づく世界はオンラインの世界には適しておらず、それでもなお主要な運用モードです。オンラインビジネスはしばしばプラットフォーム間で資格情報が露出する伝統的な終点につながります」とBar-Geffenは説明しました。

この見解は、Holonymの共同創設者であるNanak Nihal Khalsaによっても共有されており、企業が安価だからと言ってこのモデルに固執していると主張しています。彼は次のように述べています：「問題は、企業がこれを使い続けているのは安価で便利だからであり、しかし、ユーザーを認証し、またはそのセンシティブなデータを格納するためのより安全で効果的な方法があります。」

Bar-Geffenによれば、その一つの方法は、Zero-Knowledge Proofs (ZKPs) や同型暗号などの革新を通じて、解読することなくアクセス可能な分散化された暗号化データの使用です。

Bitcoin.com Newsが報じたところによれば、侵害を発見したCybernewsの研究者たちは、これが単なる漏洩ではなく「大規模な利用のための設計書」だと述べています。他の専門家は、サイバー犯罪者が漏洩したデータセットを利用して、アイデンティティ盗難、フィッシング、およびシステム侵入を強化できると警告しています。

それでもなお、多くの人々にとって、この大規模な侵害は、ますます高度化するサイバー犯罪者の時代においてパスワードの関連性を問い直すきっかけとなっています。パスワードを完全に廃止するという話は10年間続いていますが、Khalsaは、パスワードのパラダイムを撤廃することを正当化する明確な代替手段はまだ現れていないと主張しています。

パスキーについては、パスワードの代替として有望視する声もありますが、Holonymの共同創設者は次のように述べています：「パスキーがパスワードに取って代わるという噂は一般的ですが、パスキーは最終的にパスワードに依存するクラウドアカウントに同期されていることが多いです。暗号化キーも使用できますが、管理が難しいです。回復手法はパスワードを必要とするアカウントに依存することが多いです。」

一方、Bar-Geffenは、分散ID、ZKPs、暗号ウォレットなどのツールがすでに「安全な、ユーザー管理のアクセス及び権限承認方法」として機能していると考えています。しかし、Bar-Geffenは、企業、政府およびユーザーがプライバシー優先のアプローチを採用することの課題でもあると主張しています。また、人工知能（AI）の時代においてプライバシー優先のアプローチを採用することがなぜ重要かを強調しています。

「AIの問題もあります。AI自動化が拡大しているため、データ侵害の規模が拡大し、新しいプライバシーモデルがなければ、インターネットが使用不可能になる可能性があります。したがって、自己主権と許可されたプライバシーの新しいモデルへの移行が重要です」とCOTIのエグゼクティブは述べました。