全2958文字
PR

生体認証を使ってログイン

 SMS認証以外にパスワードレス認証を実現するFIDOという仕組みもある(図5)。最近のスマホは、指紋や顔を使った生体認証でロックを解除できる製品が多い。FIDOを使えば、こうした生体認証の機能をサービスのログイン認証に流用できる。Yahoo!でパスワードを設定しないときは、認証にSMS認証かFIDOを利用する。

図5●サービスのログインに生体認証を使えるようにするFIDO
図5●サービスのログインに生体認証を使えるようにするFIDO
FIDOという仕組みを利用すると、スマートフォンがロック解除のために内蔵する指紋認証機能や顔認証機能をサービスのログイン認証に流用できる。
[画像のクリックで拡大表示]

 具体的な認証の流れを見てみよう(図6)。FIDOでは、公開鍵暗号方式による電子署名を利用する。秘密鍵と公開鍵のペアは、スマホなどの端末(認証器)側で生成する。FIDOを使い始めるときには、認証器が認証サーバーに公開鍵を登録する。

図6●FIDO認証の手順
図6●FIDO認証の手順
FIDOを利用するには、まず認証サーバーにスマートフォンなどの端末(認証器)の公開鍵を登録する。認証時には、認証サーバーが認証器にチャレンジコード(ランダムな文字列)を送り、認証器で生体認証などの手段で本人を検証する。本人であることを確認できたら、チャレンジコードを秘密鍵で電子署名して認証サーバーに送る。認証サーバーが公開鍵で電子署名を検証してログインを許可する。
[画像のクリックで拡大表示]

 認証時には、認証サーバーが認証器にチャレンジコード(ランダムな文字列)を送る。次に、認証器が生体認証などの手段で本人を検証する。本人であることを確認できたら、チャレンジコードを秘密鍵で電子署名して認証サーバーに送る。認証サーバーでは公開鍵で電子署名を検証し、正当なユーザーであることを確認してログインを許可する。

異なる種類の要素を使う

 ユーザー認証の際に、1つの認証要素だけでなく、複数の認証要素を使うこともある。認証要素を増やすとユーザーの手間は増えるが、安全性は高められる。

 2つの認証要素を使う方法としては「2要素認証」と「2段階認証」がある。これらは微妙に意味が異なるので注意が必要だ(図7)。

図7●2要素認証と2段階認証は異なる
図7●2要素認証と2段階認証は異なる
2要素認証は、3種類の認証要素のうち2種類を使って安全性を高める。一方、2段階認証は単に認証を2回行うだけなので、同じ種類の認証要素を使うと安全性がそれほど向上しない。
[画像のクリックで拡大表示]

 2要素認証では、3種類の認証要素のうちの2種類を使って安全性を高める。例えば「知識情報であるパスワードと所持情報であるSMS認証」「所持情報であるセキュリティーキーと生体情報である指紋」といった組み合わせが考えられる。

 一方2段階認証は、単に認証を2回行うことを意味する用語だ。認証要素の種類は問わないため、同じ種類の認証要素を2回使う場合もある。

 例えば、知識情報のパスワードと秘密の質問を併用する場合だ。異なる種類の認証要素を組み合わせる場合に比べると、安全性はそれほど向上しない。

▼FIDO
Fast IDentity Onlineの略。
▼公開鍵暗号方式
秘密鍵と公開鍵という2種類の鍵ペアを利用する暗号方式。どちらか一方の鍵で暗号化(署名)したデータを、もう一方の鍵で復号(検証)できる。