長らく利用者に負担を強いてきたパスワード。ついに「個々のサービスごとに推測されにくい文字列を覚えておく」といった負担から解放されそうだ。
米Microsoft(マイクロソフト)は2021年3月に開催されたIT管理者向け会議「Ignite 2021」で、「Azure Active Directory(AAD)」におけるパスワードレス認証の正式対応を発表。同月には米Cisco Systems(シスコシステムズ)の子会社で認証プラットフォームを手掛ける米Duo Security(デュオセキュリティー)がパスワードレス認証への対応を発表した。
「日本マイクロソフト社内でもパスワードレスの運用を始めている。もう大半の社員がパスワードを覚えていないのではないか」。同社クラウド&ソリューション事業本部モダンワーク統括本部第4技術営業本部本部長の山野 学氏がこう指摘するように、パスワードレス認証は安全性の確保と利便性の向上を両立させる。今回はパスワードレス認証に至るまでの背景を説明しよう。
正当な利用者を確認する
そもそもサービスの利用に際し、パスワードがなぜ必要とされていたのか。パスワードはサービス利用者の正当性を確認するために使われてきた。これを「認証」と呼ぶ。
認証では、利用者を識別するための「ID」と、サービスに登録済みの利用者だけが知っている情報(パスワード)を突き合わせて、合っていれば正しい利用者と判断する。
別途ハードウエアなどを必要とせず比較的安価に実装できるので、パスワードは利用者の認証が必要な場面で長らく使われてきた。誰でも利用でき、教育コストがかからないメリットもある。
しかしパスワードには2つの本質的な課題がある。まず利用者の記憶に頼る点だ。利用者は覚えやすくするため単純な文字列にしたり、類推されやすい文字列にしたりしてしまう。紙にメモする、使い回すというのも利用者の記憶に頼ることが原因だ。
もう1つがサービス側で認証に関する情報を保持する(秘密を利用者と共有する)点だ。サービスにある認証情報と照合するので、攻撃者がパスワードを入手して利用者になりすましても識別は不可能だ。サイバー攻撃などにより認証情報が漏洩する懸念もある。
