「アカウントの情報を勝手に書き換えられた上、覚えのない課金の請求書が来た」「ポイントが勝手に使われていた」─IDとパスワードを盗まれ、アカウントを不正に利用されたとする被害者の声がネット上にあふれている。 消費者向け、企業向けに関わらず、IDとパスワードに頼る認証は、もはや限界に来ている(図1)。 通常、一人が使いこなせるパスワードは、せいぜい3~4個。にもかかわらず、クラウドサービスの利用が加速する中で、それぞれ独立にIDやパスワードを求めるシステムやサービスは年々増え続けている。こうなれば、同一のIDとパスワードの使い回しは避けられない。一つのサービスでパスワードが漏洩すれば、他のサービスでもIDを乗っ取られる。「IDを乗っ取るサイバー攻撃の多くは、別のサイトから漏れたとみられるIDとパスワードを利用している。攻撃のうち数%はログインに成功している」(セキュリティ企業 HASHコンサル
![パスワード運用はもう限界](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)