パスワードの歴史——1960年代の発明から現代のパスキーまでの変遷
パスワードの歴史を1960年代の発明から現代のパスキーまで解説。SHA・bcrypt・FIDO2などの技術変遷と、パスワードが抱え続けてきた根本的な問題を紹介。
パスワードの誕生:1960年代
コンピュータが大型機で複数ユーザーが共有していた時代、MITのFernando Corbató氏は1961年にCTSS(Compatible Time-Sharing System)にパスワードを導入したよ。目的はセキュリティというよりユーザーのファイルを分離するためだった。
Corbató氏は後に「パスワードを発明したことは後悔している」と語ったと伝わっているよ。なぜなら人間がパスワードを管理することの難しさを見越していたから。
ハッシュ化の登場:1970年代
パスワードを平文でファイルに保存するのは危険だと認識され、UNIXでcrypt()関数(DES暗号ベース)が導入されたのが1970年代だよ。パスワード本体ではなくハッシュを保存する方式で、漏洩してもすぐには使えない仕組みになった。
インターネット時代と大規模漏洩:2000年代
インターネットの普及でパスワードの重要性が増す一方、MD5・SHA-1のような高速ハッシュで保存するサービスが多く、GPU攻撃に対して脆弱だと判明したよ。
2009年のRockYouデータベース漏洩(3200万件、平文保存)はその象徴的な事件で、「123456」「password」などよく使われるパスワードのリストが世界に広まった。
強力なハッシュ化:bcrypt・scrypt・Argon2
高速ハッシュへの反省から、意図的に計算コストを高くした「ストレッチング」ハッシュ関数が登場したよ。
| 関数 | 登場年 | 特徴 |
|---|---|---|
| bcrypt | 1999年 | コスト係数でGPU攻撃を遅くする |
| scrypt | 2009年 | メモリ負荷でASIC攻撃にも対応 |
| Argon2 | 2015年 | Password Hashing Competitionで優勝。現在の最推奨 |
NIST SPシリーズとガイドラインの進化
2004年ごろから「大文字・数字・記号必須、90日更新」というポリシーが主流になったが、2017年のNIST SP 800-63B改訂でこれらが否定された。「人間の行動を考慮したセキュリティ設計」への転換点だよ。
FIDO2・WebAuthnの登場:2018年〜
FIDO Allianceが2018年にFIDO2規格を発表し、パスワード不要の公開鍵認証をWebに持ち込んだよ。2022〜2023年にGoogle・Apple・Microsoftが相次いでパスキーをサポートしたことで普及が加速している。
現在と未来
- 2026年現在:主要サービスのパスキー対応が進み、「パスワードの補助」から「パスワードの置換」へ移行中
- 2030年代予測:多くの一般サービスでパスワード不要の認証が標準になると見られている
- 量子コンピュータ対応:現在使われているRSA・ECDSAは量子コンピュータに理論上は破られるため、耐量子署名アルゴリズムへの移行準備も始まっている
60年以上使われてきたパスワードは、ようやく終わりへの道を歩き始めているよ。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。