スマホのロック解除でウェブサービスにログイン
アップル、Google、マイクロソフトがFIDOのパスワードレス認証取り組み拡大
アップル、Google、マイクロソフトが、World Wide WebコンソーシアムとFIDOアライアンスが策定したパスワードレスでのログイン認証標準のサポートをするための提携を拡大することを明らかにした。3社は今後1年のあいだに、iOS、AndroidといったモバイルOSや、Chrome、Edge、Safariブラウザー、そしてWindows、macOSなどのデスクトップ環境にFIDO認証資格情報(FIDO Credential)を導入していく。
FIDOアライアンスは現在のウェブにおけるパスワード依存の現状を緩和するための認証標準策定を目指す業界団体。FIDOはFast IDentity Onlineの略称だ。
パスワードを使わずにウェブサービスにログインをするFIDO認証技術は、国内でも携帯キャリア各社などが対応を進めてきており、この度明らかとなったアップル、Google、マイクロソフトといった企業もそれぞれ対応を進めている。
今回のFIDO認証資格情報は、この3月に新しく発表されたもので、ユーザーがアプリ、ウェブサービス、その他デジタルサービスにログインする際に、手もとにあるスマートフォンやタブレット端末が搭載する認証機能(PINやパターン入力、指紋認証など)を利用する。これはモバイル端末とウェブサイトの間で一意の暗号化トークンを利用することで実現される。
ユーザーのスマートフォンやタブレットは、FIDOに準拠した固有のパスキーを保存することができ、携帯電話のロックが解除されたときにのみ、認証のためにウェブサイトと共有できる決まりになっている。認証にはスマートフォンやタブレット端末が必要になるが、そのロック解除のための認証処理を流用することで、これまでのように何種類ものパスワードを使い分けたり、テキストメッセージを使ったワンタイムパスワード、多要素認証に比べ安全性と簡便さをユーザーに提供できる。
認証に物理的なデバイスが必要になると言うことは、ハッキングによるログイン情報の抜き出しもより困難になることを意味する。たとえばメールで偽のウェブサイトにユーザーをおびき出し、ログインIDとパスワードをせしめようとするフィッシング詐欺などは成立しにくくなる。
では、認証に利用していたスマートフォンを紛失してしまった場合はどうなるかといえば、そのスマートフォンのロックが解除されなければ認証を悪用されることはなく、さらにパスキーと呼ばれるFIDO認証のための固有データはクラウドにバックアップが置かれるため、新規に購入したスマートフォンにダウンロードして引き継ぐことが可能だ。
なお、これまではFIDO認証を利用する初回に限ってはFIDO認証前にパスワードを使用しなければならず、完全にパスワード傍受の危険性を回避しているとは言えない状況だった。しかし、FIDOアライアンス代表でGoogleのセキュア認証製品管理ディレクターでもあるSampath Srinivas氏は「われわれは、ついに本当にパスワードを必要としない未来のインターネットプラットフォームを完成させようとしている」と述べ、1年をかけて業界に展開していく新しいFIDO認証手順から初回のパスワード入力も不要になるとした。
なお、3社は「今後1年間のあいだに」と述べているものの、具体的にどのような段取りでの導入になるかは明らかにしていない。それでも来年の暮れごろには、たくさんあるパスワードを忘れてしまわないために、手帳の片隅にそれを書き記しておくといった、用心なのか不用心なのかわからない対策をする必要はなくなっていそうだ。
- Source: FIDO Aliance
- via: Apple Google