やはりパスワードは怖いということになるだろうか。Evernoteのハッキング事件による全ユーザのパスワードリセットの要請のメールが自分にも届いた。

Evernoteもハッキング攻撃を受け、全ユーザーパスワードをリセット(ITmedia)
セキュリティ関連のお知らせ：Evernoteでのパスワード再設定のお願い(Evernote)

　この事件のことを知らずに受け取ったメールだけを読むと、Evernoteに成りすましたフィッシング詐欺かソーシャルエンジニアリングではないかと疑ってしまう。管理者を装ってユーザのパスワードを偽装ページから入力させ盗みとってしまうようなものである。そう疑われても仕方がないような措置をしなければならなかったほど、ハッキンングが深刻だったと想像される。

　メーカーのサポートページなどがハッキングされたのではなく、ネットによるサービスそのものを扱っているサイトが攻撃されただけに、Evernoteに限らず、Webサービスやクラウドサービスを提供しているサイトにはみな起こりうる危険だと印象づけたのではないだろうか。一番怖いのはパスワードが漏洩した結果、そのサイトでの直接の被害はなかったにせよ、同じパスワードを使っていたりする別のサイトに侵入されるということかもしれない。暗号化されていてそれはなかったとされるが、クラウドサービスの信用がやや揺らいだことは確かだろう。

　以前から感じていることだが、これだけネット上のサービスも増えると、もはや単純にIDとパスワードでログインさせるという方法自体が限界にきている感じがする。単純に推測されないパスワードを設定するとかいうレベルの話ではなくて、いろいろな運用部分のレイヤーでパスワードを管理することが難しくなっている。そして今回のように管理側がごっそりやられることもある。たとえばスマホやタブレットで指タッチしただけで指紋認証できたりするとか、そろそろ文字列パスワードをなんとかするべき時代だろう。