全3375文字
ここからはパスワードレス認証を実現する技術を見ていこう。
認証情報がネットを流れない
パスワードの課題の1つはサービス側で認証するため、認証に関する情報がネットワークを流れる点だ。
そこでパスワードレス認証では、端末側で認証を完結させる(図2-1)。サービスには、電子証明を施した認証の結果だけを伝える。もう1つの課題である利用者の記憶に頼る点については、生体認証やPINを使って解決する。
図2-1●パスワードレスの場合は端末側で認証する
パスワードによる認証は、認証に関する情報がネットワークを介してサービス側に送られ、サービス側で認証する(a)。このため認証に関する情報が盗まれる危険性がある。端末側で認証すれば、PINのような単純な文字列でもパスワードより安全性が高まる(b)。
[画像のクリックで拡大表示]
例えばWindows 10では、パスワードの代わりにPINを利用できる。PINはパスワードより単純な文字列なので危険度は高まるように感じる。しかし「PINは認証する端末とひも付いている。仮にPINを盗まれても、その端末で使わない限りただの数字にすぎない」(日本マイクロソフトの山野氏)。
大きく3種類の仕組みがある
現状パスワードレス認証を実現する方式は大きく3つある(図2-2)。まずパソコンやスマートフォンのWebブラウザーやアプリを使う際に、端末に内蔵するデバイスなどを利用して認証する方式がある。「プラットフォーム型」とも呼ぶ。
図2-2●パスワードレス認証は現状3種類
大きく3つの認証方式がある。このうち端末の内蔵デバイス(認証器)を利用するプラットフォーム型と、USBやNFCを使って外部デバイス(外部認証器)をつなぐ独立認証器型はFIDO2に準拠している。
[画像のクリックで拡大表示]
次が独立したデバイスを認証器として利用する「独立認証器型」だ。端末とはUSB▼やNFC▼で接続する。デバイス内部に秘密鍵を格納し、PIN入力や生体認証を実施すると、秘密鍵に基づく情報を端末に伝達する。米ユビコの「YubiKey」が有名だ。
以上の2つの方式をパスワードレス認証で利用する際▼には、FIDO▼アライアンスが定めた「FIDO2」規格に基づくことが多い。
そして最後が「スマホ認証器型」だ。利用者がスマートフォンのアプリを通じて認証する。その際に生体認証機能も利用するのが一般的だ。これに関してはIDPごとに独自の方式を用いている。
