Scribble at 2025-02-24 07:32:48 Last modified: unmodified

Bitwarden というのはパスワード・マネージャをリリースしている会社だ。そこが認証アプリをリリースしたというのだが、Hacker News のコメントによると、これはプレミアム・サービスの「会員」だけが使えた機能らしい。それを単独でリリースしたようだ。

正直、僕は大昔から（それこそオンラインのパスワード管理サービスが登場した最初の頃から）、オンラインのパスワード管理サービスは典型的な SPOF（単一障害点）となる重大なリスクがあるので、企業ユーザは（そしてプライベートなユーザであっても）使うべきではないと主張しているので、別の言い方をするなら、パスワード管理サービスも "security theatre"（セキュリティ劇場）の一つであると言える。つまり、セキュリティ対策のフリや真似事をしているにすぎず、実質的にはセキュリティ対策になっていない。いや、それどころかリスク要因（特に機密性と可用性に関わる）を逆に上げてしまっている可能性だってあろう。

そして、それらに加えて、僕らのようにビジネス・モデルとしてこういうサービスを眺めている企業の役職者でもある人間からすれば、かつて OpenID について指摘したように、こういうサービスはどのみち長いスパンで見たら巨大企業の寡占状態に収斂するに決まっているのだ。現に、Fido のような「パスワードレス」の認証サービスでも、既に GAFAM が仕様を牛耳っているし、多段階認証についても GAFAM がリリースしている認証アプリが圧倒的なシェアを握っている。もちろん、そういう認証アプリに多段階認証の大半のプロセスが依存してしまっている現状も SOPF に近いものだし、多段階認証への攻撃も色々な手法が出てきている。もちろん、こういうイタチごっこは永遠に続く。情報セキュリティのテーマでもあり、数学的には（あるいは社会学的と言ってもいいが）原理的とすら言える事実なのかもしれない。