パスワードを使わない認証を「パスワードレス認証」と呼ぶ。パスワードを使わずにどうやって認証を実現するのか。その技術を見ていこう。
認証情報がネットを流れない
パスワードの課題の1つはサービス側で認証するため、認証に関する情報がネットワークを流れる点だ。
そこでパスワードレス認証では、端末側で認証を完結させる。サービスには、電子証明を施した認証の結果だけを伝える。もう1つの課題である利用者の記憶に頼る点については、生体認証やPIN(Personal Identification Number)を使って解決する。
例えばWindows 10では、パスワードの代わりにPINを利用できる。PINはパスワードより単純な文字列なので危険度は高まるように感じる。しかし「PINは認証する端末とひも付いている。仮にPINを盗まれても、その端末で使わない限りただの数字にすぎない」(日本マイクロソフト クラウド&ソリューション事業本部モダンワーク統括本部第4技術営業本部本部長の山野 学氏)。
大きく3種類の仕組みがある
現状パスワードレス認証を実現する方式は大きく3つある。まずパソコンやスマートフォンのWebブラウザーやアプリを使う際に、端末に内蔵するデバイスなどを利用して認証する方式がある。「プラットフォーム型」とも呼ぶ。
次が独立したデバイスを認証器として利用する「独立認証器型」だ。端末とはUSBやNFC(Near Field Communication)で接続する。デバイス内部に秘密鍵を格納し、PIN入力や生体認証を実施すると、秘密鍵に基づく情報を端末に伝達する。米Yubico(ユビコ)の「YubiKey」が有名だ。
以上の2つの方式をパスワードレス認証で利用する際には、FIDO(Fast IDentity Online)アライアンスが定めた「FIDO2」規格に基づくことが多い。
そして最後が「スマホ認証器型」だ。利用者がスマートフォンのアプリを通じて認証する。その際に生体認証機能も利用するのが一般的だ。これに関してはID管理サービス(IDP)ごとに独自の方式を用いている。
