パスワードの起源 - 古代ローマの合言葉から生体認証まで

この記事は約 13 分で読めます

パスワードは現代の発明品ではありません。古代ローマの兵士が暗闇で合言葉をささやいた時代から、MIT の研究者が世界初のコンピュータログインシステムを作った時代まで、「秘密の言葉で自分を証明する」という概念は 3000 年以上の歴史を持っています。この記事では、古代の戦場からパスワードを過去のものにするかもしれないパスキー革命まで、驚くほど面白いパスワードの歴史をたどります。

結論 - パスワードは 3000 年の歴史を経て消えようとしている

古代ローマの合言葉から始まったパスワードの歴史は、コンピュータの登場で爆発的に広がり、そして今、パスキーや生体認証によって終わりを迎えようとしています。しかし 3000 年間変わらなかった本質があります。それは「本人であることを証明する手段が必要」ということ。手段は合言葉からハッシュ化されたパスワードへ、そして生体情報へと進化しましたが、認証という概念そのものは人類の文明とともに歩み続けています。

古代ローマ軍の「ウォッチワード」- パスワードの原点

パスワードの歴史は紀元前のローマ軍にさかのぼります。古代ローマの歴史家ポリュビオスの記録によると、ローマ軍は夜間の見張り番が味方と敵を区別するために「ウォッチワード」(watchword) と呼ばれる合言葉を使っていました。合言葉は木の板に書かれ、日没前に各部隊へ配布されました。夜間に陣地に近づく者は合言葉を求められ、正しく答えられなければ敵とみなされました。

面白いのは、この仕組みにはすでに現代のセキュリティと同じ課題があったことです。合言葉が敵に漏れたらどうするか？ ローマ軍は合言葉を毎日変更することで対処しました。これは現代の「パスワードの定期変更」ポリシーの原型と言えます。ただし、現代のセキュリティ研究では定期変更よりも強力なパスワードの方が重要とされています。

「開けゴマ」- 文学史上最古のパスワード

「アリババと 40 人の盗賊」に登場する「開けゴマ」(Open Sesame) は、おそらく文学作品における最も有名なパスワードです。盗賊たちが洞窟の扉を開くための合言葉として使い、アリババがそれを盗み聞きして財宝を手に入れる物語です。この物語は 8 世紀頃の「千夜一夜物語」に収録されており、パスワードの概念が少なくとも 1200 年以上前から物語のモチーフとして使われていたことを示しています。

セキュリティの観点から見ると、「開けゴマ」の物語はパスワードの根本的な弱点を見事に描いています。パスワードは「知っている」だけで認証が通るため、盗み聞きされたら終わりです。これは現代のキーロガーやフィッシングによるパスワード窃取とまったく同じ構図です。

禁酒法時代のもぐり酒場 - 合言葉カルチャー

1920 年代のアメリカ禁酒法時代、違法に酒を提供する「スピークイージー」(もぐり酒場) では、入店するために合言葉が必要でした。ドアの小窓から顔をのぞかせた用心棒に正しい合言葉を告げないと、中に入れてもらえません。合言葉は頻繁に変更され、常連客にだけ口伝えで共有されました。

この仕組みは、現代のセキュリティ用語で言えば「共有秘密鍵」(shared secret) による認証です。知っている人だけがアクセスできるという点でパスワード認証そのものですが、口伝えで広がるため漏洩リスクが高いという弱点も現代と同じでした。ちなみに「speakeasy」という名前自体が「静かに話せ」(speak easy) に由来し、合言葉を大声で言わないよう注意を促すものでした。

1961 年 MIT の CTSS - 世界初のコンピュータパスワード

コンピュータにおけるパスワードの歴史は 1961 年、MIT (マサチューセッツ工科大学) の Compatible Time-Sharing System (CTSS) から始まります。CTSS は複数のユーザーが 1 台のコンピュータを共有するシステムで、各ユーザーのファイルを他人に見られないようにするためにパスワードが導入されました。開発者の Fernando Corbató は後に「パスワードは原始的な解決策だった」と振り返っています。

そして驚くべきことに、世界初のパスワード流出事件は CTSS の翌年、1962 年に起きました。ある研究者が、パスワードファイルの印刷を要求するコマンドを発見し、全ユーザーのパスワードが平文で印刷されてしまったのです。パスワードが発明されてわずか 1 年で、最初のセキュリティインシデントが発生したことになります。この事件は、パスワードを平文で保存する危険性を世界で初めて実証しました。

1970 年代 Unix の crypt() - パスワードハッシュの誕生

CTSS の事件は、パスワードを平文で保存する危険性を明確にしました。1970 年代、Unix の開発者 Robert Morris Sr. は crypt() 関数を導入し、パスワードを保存する前にハッシュ化する仕組みを作りました。パスワードそのものではなく、数学的に変換された値を保存するのです。ユーザーがログインすると、入力されたパスワードがハッシュ化され、保存されたハッシュと比較されます。攻撃者がパスワードファイルを入手しても、パスワードを直接読むことはできません。Morris はさらにソルトの概念も導入しました。ハッシュ化の前にランダムなデータを各パスワードに追加することで、同じパスワードでも異なるハッシュ値が生成されるようにしたのです。この 2 つの革新 - ハッシュ化とソルト - は、今日のパスワードセキュリティの基盤として残り続けています。現代のシステムがパスワードをどう保護しているかは暗号化の基礎を参照してください。

2000 年代 - 多要素認証の普及

インターネットの普及とともにパスワード漏洩事件が急増し、「パスワードだけでは不十分」という認識が広まりました。2000 年代に入ると、多要素認証 (MFA) が普及し始めました。パスワード (知識要素) に加えて、SMS コード (所持要素) や指紋 (生体要素) を組み合わせることで、セキュリティを大幅に強化する仕組みです。

Google が 2011 年に二段階認証を導入し、Apple が 2013 年に Touch ID を iPhone に搭載したことで、一般ユーザーにも多要素認証が身近になりました。詳しくは二段階認証の解説をご覧ください。

2020 年代のパスキー革命 - パスワードが消える未来

2020 年代は、認証の歴史における最も劇的な転換期を迎えています。それがパスキーです。FIDO Alliance が開発し、Apple、Google、Microsoft がサポートするパスキーは、公開鍵暗号を使ってパスワードを完全に不要にします。パスワードを入力する代わりに、デバイスの生体認証 (指紋や顔認証) で本人確認を行い、暗号鍵ペアが残りの処理を担います。パスキーはフィッシングされず、サイト間で使い回されず、データベース漏洩で流出することもありません。この移行について詳しくはパスキーガイドと生体認証のリスクを参照してください。

認証の歴史をもっと深く知りたい方は、暗号の歴史に関する書籍 (Amazon)も参考になります。

よくある質問

世界初のコンピュータパスワードはいつ作られましたか？

1961 年、MIT の Compatible Time-Sharing System (CTSS) で導入されました。複数のユーザーが 1 台のコンピュータを共有する際に、各ユーザーのファイルを保護するために作られました。翌 1962 年には早くも世界初のパスワード流出事件が発生しています。

パスキーとは何ですか？パスワードとどう違いますか？

パスキーは FIDO Alliance が開発した次世代の認証方式で、公開鍵暗号を使います。パスワードのように「覚えて入力する」必要がなく、デバイスの生体認証 (指紋・顔認証) で本人確認を行います。フィッシングに強く、使い回しの問題もなく、データベース漏洩で流出するリスクもありません。

パスワードのハッシュ化とは何ですか？

パスワードを数学的な関数で変換し、元に戻せない文字列 (ハッシュ値) にする技術です。1970 年代に Unix の crypt() 関数で初めて実用化されました。サーバーはパスワードそのものではなくハッシュ値を保存するため、データベースが漏洩してもパスワードが直接読み取られることはありません。