最近、アメリカのメディアなどを狙った大規模なセキュリティ攻撃が行われているようですが、その標的がソーシャルメディアにも行われており、私達にも関係があるというお話しです。
Twitterブログ: より安全にご利用いただくために
「調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。」
とのことで、該当ユーザーには強制的なパスワードリセット等の処置が行われたそうです。
私はそろそろ、IDとパスワードによるセキュリティは限界に来ているだろうと考えています。
Twitterでは「最低でも10文字、大文字と小文字、数字、記号などを混ぜたパスワードをご利用下さい。」と呼びかけていますが、実際そこまでやっているユーザーはそう多くありません。
また、実際にやったとして、パスワードが覚えられず、結局簡単なパスワードを複数サイトで使い回しをすることになり、これまたセキュリティ上の脅威となります。
そこで、セキュリティトークンや乱数表、セキュリティキー、携帯端末などを使った二段階認証、あるいは端末認証などを組み合わせる必要が出てきます。
(このうち、よく使われる乱数表は「全部を1つの画面で打ち込ませる」という強引なフィッシングサイトが出現していて、金融機関が警告を出していますね。)
面倒ではありますが、将来的には、利用者本人が物理的に確認する認証の仕組みを導入する流れになるのはほぼ間違いないかなと思います。