全1346文字
PR

 FIDOが普及すれば、理屈上はパスワードを廃止できる。それが本当に可能なのかを見ていこう。

 現在のパスワードは、実はそれほど不便ではない。たいていのWebブラウザーは、ユーザーが一度入力したIDとパスワードを覚えて自動補完する機能を備えているためだ(図2-1)。最初にIDとパスワードを使ってログインすれば、2回目以降のログインではパスワードを入力する必要がない。複雑なパスワードを使っていても利便性は保たれる。ただ、このようにしてパスワードを使い続けることには問題がある(図2-2)。

図2-1●パスワードはWebブラウザーが覚えてくれる
図2-1●パスワードはWebブラウザーが覚えてくれる
たいていのWebブラウザーは、ユーザーが一度入力したIDとパスワードを覚えているので、2回目以降のログインではパスワードを入力する必要がない。
[画像のクリックで拡大表示]
図2-2●自動補完機能に頼ることの問題点
図2-2●自動補完機能に頼ることの問題点
Webブラウザーのパスワードの自動補完に慣れると、パスワードを忘れる恐れがある。また、「ID/パスワードがいったん漏洩すると誰でもログインできてしまう」というパスワードの根本的な問題は解決できない。
[画像のクリックで拡大表示]

 まず、Webブラウザーのパスワードの自動補完に慣れてしまうと、パスワードを忘れやすくなる点だ。パスワードを忘れると、Webブラウザーの設定をクリアしたりスマートフォンを買い替えたりしたときにログインできなくなってしまう

 さらに、安全性の問題も残る。「IDとパスワードがいったん漏洩してしまうと、誰でもログインできてしまう」という根本的な問題は解決できない。

パスワードでのログインを禁止

 こうした問題を解決するため、サービス事業者はパスワード廃止に向けた様々な取り組みを実施している。

 その1つがパスワードレスのアカウント作成だ(図2-3)。サービス事業者によっては、パスワードを設定せずにアカウントを作成できる仕組みを用意している。アカウント作成時にはパスワードの代わりに携帯電話番号を登録する。認証時には携帯電話番号宛てにSMSでワンタイムパスワードを送信する。SMS認証の代わりにFIDOを利用した生体認証を使うこともできる。

図2-3●アカウント作成時にパスワードを設定しないサービスが出てきている
図2-3●アカウント作成時にパスワードを設定しないサービスが出てきている
サービス事業者によっては、パスワードを設定せずにアカウントを作成できる仕組みを用意している。SMS認証やFIDO認証を使ってパスワードなしでログインできる。
[画像のクリックで拡大表示]