全1516文字
PR

 Webサービスなどのユーザー認証にはパスワードが広く使われている。しかしパスワードは、管理が大変な「パスワード地獄」という欠点を持つ。

 サービスごとに異なるパスワードにすると管理が大変になる。それを避けるために共通のパスワードにすると、漏洩したパスワードで他のサービスでのログインを試みるリスト型攻撃に弱くなる。これがパスワード地獄だ。加えてパスワードにはセキュリティー上の問題もある。

 そこで近年注目されているのが「FIDO(Fast IDentity Online)」である。一言で表現すると、「パスワードレスでサービスにログインできるようにする仕組み」だ。NTTドコモがdアカウントを使って提供するサービスや、ヤフーが提供しているWebサービスなどが対応している。

 最近のスマートフォンは、指紋認証によりパスワードレスでロックを解除できる製品が多い。

FIDOの目に見えるメリット
FIDOの目に見えるメリット
[画像のクリックで拡大表示]

 しかし、そうしたスマートフォンであっても、サービスを利用する際にはIDとパスワードを入力してログインする必要がある。

 この部分をパスワードレスにするのがFIDOだ。サービスがFIDOに対応していれば、指紋認証でログインできる。FIDOでは、指紋認証以外にも顔認証など様々な認証手段を利用できる。

 FIDOがパスワードレスのログインを目指すのは、現在のパスワードが大きく2つの問題点を抱えているためだ。

パスワードが抱える2つの問題点
パスワードが抱える2つの問題点
[画像のクリックで拡大表示]

 1つ目は、安全性と利便性がトレードオフの関係にある点だ。簡単なパスワードは覚えやすいが、攻撃者が簡単に推測できるため、安全性が低い。安全性を高めようと複雑なパスワードにすると、今度は覚えにくくなって利便性が大きく落ちる。