全1567文字
PR

 Webサービスなどのユーザー認証にはパスワードが広く使われている。パスワードは、管理が大変な「パスワード地獄」という欠点を持ち、セキュリティー上の問題もある。そこで近年注目されているのが「FIDO」である。一言で表現すると、「パスワードレスでサービスにログインできるようにする仕組み」だ。

 最近のスマートフォンは、指紋認証によりパスワードレスでロックを解除できる製品が多い(図1-1)。しかし、そうしたスマートフォンであっても、サービスを利用する際にはIDとパスワードを入力してログインする必要がある。

図1-1●FIDOの目に見えるメリット
図1-1●FIDOの目に見えるメリット
スマートフォンの多くは指紋認証でロックを解除できる。サービスがFIDOに対応していれば、指紋認証や顔認証といった生体認証で簡単にログインできるようになる。
[画像のクリックで拡大表示]

 この部分をパスワードレスにするのがFIDOだ。サービスがFIDOに対応していれば、指紋認証でログインできる。FIDOでは、指紋認証以外にも顔認証など様々な認証手段を利用できる。

 FIDOがパスワードレスのログインを目指すのは、現在のパスワードが大きく2つの問題点を抱えているためだ(図1-2)。

図1-2●パスワードが抱える2つの問題点
図1-2●パスワードが抱える2つの問題点
パスワードには大きく2つの問題点がある。1つ目は、安全性と利便性がトレードオフである点。2つ目は、漏洩する危険性がある箇所が多い点である。
[画像のクリックで拡大表示]

 1つ目は、安全性と利便性がトレードオフの関係にある点だ。簡単なパスワードは覚えやすいが、攻撃者が簡単に推測できるため、安全性が低い。安全性を高めようと複雑なパスワードにすると、今度は覚えにくくなって利便性が大きく落ちる。

 2つ目の問題点は、IDやパスワードが漏洩する危険性がある箇所が多い点だ。ユーザーや端末から漏洩する危険性があるだけでなく、サーバーから漏洩することもある。加えて、通信経路で盗聴されるケースも考えられる。