従来の『固定パスワード』『ワンタイムパスワード』は廃止・禁止すべき？広がるパスキー移行の流れ（スマホライフPLUS）

インターネットの世界で、毎日のように入力するパスワード。覚えきれなくてメモに残したり、同じものを複数のサイトで使いまわしている方は少なくないでしょう 【画像でわかる】「高齢の親のスマホ、本当に安全？」QRコード決済利用でも3割が画面ロックなしの現実 ITが「社会インフラ」と化した2025年現在、このパスワードという仕組みそのものの脆弱性が、大きな課題となっています。 実際、サイバーセキュリティ企業であるCybernewsは2025年6月18日にログイン認証情報の収集によって160億件ものログイン認証情報が漏洩したという調査結果を公表。つまり、URL、ログイン情報、パスワードが漏洩したのです。 （参考：Cybernews） この大規模漏洩により、従来の「固定パスワード」「ワンタイムパスワード」は廃止・禁止すべきであるという考え方すら説得力を持ち始めています。 今回は、パスキーへの移行が進む背景や、従来のパスワード方式の問題点について見ていきましょう。

まず、基本をおさらいしましょう。 固定パスワードとは、ユーザーが自分で決めて繰り返し使う文字列（例：password123）のことです。この方式はインターネットの初期から使われてきましたが、さまざまな弱点があります。 まず文字列としてユーザーが簡単なものを選びがちで、ハッカーに推測されやすく、なおかつ「一つのパスワードを複数サイトで使いまわしがち」であることです。データ漏洩事件が起きると、流出したパスワードが他のサイトで悪用されるサイバー攻撃の標的となり得ます。またフィッシング詐欺で偽のサイトに誘導され、パスワードを入力してしまうケースも後を絶ちません。 では「パスワードを定期的に変更すれば問題は解決する」のでしょうか？ 実はアメリカの国立標準技術研究所（NIST）は、定期的なパスワード変更を推奨しない方針を打ち出しています。強制的な変更が、かえって推測しやすい弱いパスワードを生む原因になるからです。 さらに、2025年のガイドラインでは、侵害の証拠がない限り変更を強要しないよう更新されています。 とはいえ「パスワードを変更しないことが、パスワードの強固さを高める」とも言い難く、定期的なパスワード変更の非推奨は、やや消極的なガイドラインだと言える側面もあります。こうした問題から、固定パスワードはセキュリティの観点で限界を迎えているという見方は極めて強まっています。 次に、ワンタイムパスワード（OTP）。これは、SMSやアプリで一時的に生成される使い捨てのコードで、二要素認証（2FA）としてよく使われます。固定パスワードの弱点を補うために導入されたが、これにも欠点があります。SMSベースのOTPは、SIMスワップ攻撃（電話番号を乗っ取る詐欺）で盗まれる可能性があります。 さらに、フィッシングサイトでOTPを入力してしまうと、無効化されるリスクがあります。時間ベースのOTP（TOTP）も、生成アプリがハッキングされれば危険です。 つまり、OTPは一時的な解決策に過ぎず、根本的なセキュリティ向上にはつながっていません。たとえば日本証券業協会（日証協）では、2025年7月、ワンタイムパスワードを原則禁止とする証券口座乗っ取り対策の指針を示しています。より強固な認証方式が求められる流れは、ますます強まっています。