パスワードによる認証は古くからコンピューターシステムにあります。
新しい認証方式や、それを利用する仕組みは、そもそも最初からあるわけでありません。
ネットワークの普及とオンラインが当たり前になりつつ、暗号技術の進化と普及があってこそです。
今の様なネットワークの普及とオンラインが当たり前になりつつ、暗号技術の進化と普及をする以前の昔から誰であるかを識別する認証はありました。
アカウントでの認証で誰であるかを識別ですが、誰がという部分は”ID”であり、当人しか知り得ない”パスワード”を利用することで、当人の利用であると把握です。
ずっと昔のメインフレームやミニコンの時代、まだオンラインも普及をしてない時代であれば、パンチカードでプログラミングやデータを入力しますが、大勢で利用をしつつ、コンピューターリソースが限られる事もあり、利用には時間制限やらありつつ、課金がされたり(課金せずとも利用情報の把握)がありました。
誰が使っているかを把握しつつ、当人であるかを認証して識別をしてます。
プログラム本体や処理するデータとは別に、パンチカードで”JCL”なんて記述してますが、このJCLには、誰が使っているかを区別するID(課金コード)があったし、場合によって理利用者本人しか知り得ないパスワードもありました。
目の前に利用したいコンピューター(メインフレームやミニコン)があり、目の前にあるカードリーダーでJCL、プログラム、データ等を読み込ませて処理です。
専用線によるオンラインでのダム端末が普及をしても、パンチカードが電子データ化をされただけの話ですから、遠隔で利用が出来る場合でも、やはりIDとパスワードなりでの認証です。
一方で、パーソナルユースで、一人で使う事が前提のマイコン(後にパソコン)は、そもそも、複数人で利用をすることが前提ではないから、ハードウェアとしても、後にパーソナルユース向けのOSとしても、利用者を認識するための認証なんて仕組みはありませんでした。
始めは、そんな牧歌的な時代もあったし、それで必要十分で誰が困るでもありません(ネットが普及してないから、そもそも、遠隔から利用されるなんてことは無い)。
やがて、ネットに対応しつつ(ネットがあれば遠隔から利用できる)、複数人での利用も可能な、(パーソナルユースではない、一部マニアは使っていたけど)ハードウェアやOSが登場したことで、認証という仕組み大事になってきます。
目の前にあるマシン、あるいはオンラインの先にあるマシンを端末から勝手に使わせないという事ですね。
それでも、ネットを介したオンラインでの利用であれば、telnetや、ftpはパスワード認証でしたけど、パスワードは平文で通信されてます。
また、ダム端末とは別に、ネットに対応した専用の端末(X端末)からシームレスにネットを介しての利用が出来るようになったりもしますが、簡素な認証や、権限の制御のみでした。
まだまだ、牧歌的ですね。
で、そういう、現在からするとユルユルな認証とセキュリティーでしたから、次第に問題視をされてきます。
そこで暗号技術の普及もあり活用されたりで、telnetから、sshに変化したり、ftpも、ftpsになったりですね。
ネット(LAN)の普及と、インターネット(WAN)も普及をしてきますが、黎明期は、暗号もされず、平文の通信な、telnetやftpの利用が先行していたという意味ではユルユルです。
バイナリデータを直接、通信としてやりとりができない場合は、エンコード/デコードの一種として、テキスト化して通信なんてありましがが、これも、人間が見て意味はすぐには分からないけど(難読化はしたと言える)、テキストなので読めるし、暗号化をしてるわけでもありません。
そもそも、古典的なメールの仕組みである、SMTP/POP3やIMAPでも、メールは平文で送受信です。 今でこそ、SMTPS/POP3Sや、IMAPSという感じで、サーバーと端末間が暗号された通信ですけどね。
インターネットの黎明期や初期は、牧歌的なままで、パスワードは平文で通信でしたし、データのやり取りも平文が主体でした。
利用者が限られるから、あまり困らなかったとも。
ですが、インターネットも含めたネットが普及する程に、そういう牧歌的なままでは済まなくなりますし、ネットワークの普及とオンラインが当たり前になるなかで、通信技術やコミュニケーションの仕組みが多彩となりつつ、暗号技術の進化と普及があってこそです。
で、パスワードでも、どうにかなるのですが、暗号化して保護して通信をしても、データとしてサーバーと突き合わせをするし、サーバー側で突き合わせの為に保管をしてるから、漏洩の問題があります(漏洩しても、パスワードが素でなければ問題ないけど、得てしてハッシュ化もされる、素の状態で保存はあるし、通信経路がもし平文なら、やはり漏れるかもです)。
また、うっかり騙されてアカウント情報を入力してしまう詐欺もありますね。
いよいよパスワードによる認証だけでは、(パスワードを知ってるから本人という解釈が出来なくなりつつあるから)本人確認の為の新たな仕組みとして、2段階や2ファクタ認証が提示されたり、暗号技術の活用でパスコードによる認証(さらに、デバイスと連携したデバイス認証や、生体認証とも連携)が登場をしてます。
パスワードが漏れなければ良いし、そもそも騙されなければ良いはずで、パスワードでも十分かもしれませんが、やはり現実では漏れるし、騙されるしですから、長らく使われてきたパスワード認証以外が求められていると。
パスワードは、利用する端末は問わずという利便性がある一方で(誰かのた端末を借りるとか、共用端末とか)、そもそも、利用する端末(デバイス)が信頼できるのか?!(その端末の管理者が信頼できるのか)という問題はつきまといます。
利便性はありつつ、リスクもあるという認識で注意しないといけませんね。
個人で端末・デバイスを持っていることが、当たり前の様になって普及をしてるからこそ(で、基本的には貸し借りもしない)、デバイス認証は有効でもありますね。
こういうのも、時代の変化です。 個人でコンピュータを(複数)所有してるのが当たり前な時代だかこそ、新しい認証の仕組みも必要と。
