パスワードのない未来は、私たちが考えているよりも近いかもしれない。少なくとも、スマートフォンをモバイル認証装置として利用するという新しい取り組みが軌道に乗れば。
木曜日、FIDOアライアンスは、携帯電話に保存されたパスキーを使用して、パスワードを必要とせずにオンラインアカウントのロックを解除できる新しいタイプの認証方式を発表しました。Google、Apple、Microsoftはいずれもこの新しい方式を支持しており、それぞれのOSでこの技術をサポートすることを約束しています。
パスワードは、アカウントを保護する上で、これまでずっと有効な手段ではありませんでした。アカウントごとに強力で複雑、かつ固有のパスワードを作成するように常に言われてきました。しかし、これは容易な作業ではなく、多くの人が脆弱で使い回しがちなパスワードを使ってしまい、こうしたパスワードは簡単に破られ、データ漏洩やアカウント乗っ取りに悪用される可能性があります。パスワードマネージャーなどのツールはある程度の安心感を与えてくれますが、それでもなお、この不器用で効果のない認証手段に縛られているのです。
Google、Apple、Microsoftの支援を受けて、この新しい認証方法では、FIDOベースのパスキーが携帯電話に保存されます。このパスキーは不正アクセスから保護するために暗号化され、携帯電話のロックを解除した場合にのみアクセスできます。携帯電話本体、近くのコンピューター、その他のデバイスでアプリやウェブサイトにサインインしようとすると、このパスキーによって、オペレーティングシステムやブラウザに関係なく自動的にログインできます。デバイスの登録や再登録も不要です。新しい携帯電話に切り替えても、パスキーはそのまま使用できます。
パスキーを送信するには、PIN、指紋スキャン、顔認証など、スマートフォンのロック解除に通常使用しているのと同じ方法を使用します。FIDOアライアンスによると、この新しいアプローチはフィッシング攻撃から保護し、パスワードや多要素認証よりも安全です。
「パソコンでウェブサイトにサインインするには、スマートフォンを手元に置いておくだけで、アクセスするにはロック解除を求めるメッセージが表示されます」とGoogleは説明している。「一度ロック解除すれば、スマートフォンはもう必要ありません。パソコンのロックを解除するだけでサインインできます。スマートフォンを紛失した場合でも、パスキーはクラウドバックアップから新しいスマートフォンに安全に同期されるため、以前のデバイスで中断したところからすぐに再開できます。」
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
Googleは、この新しいパスワードレス技術をAndroidとChromeに実装すると発表しました。AppleはiOS、macOS、Safariでサポートし、MicrosoftもWindowsとEdgeブラウザで同様のサポートを行う予定です。
これにより、アプリやウェブサイトの開発者は、パスワードなしのログインを可能にする技術を実装するタスクを負うことになりますが、このプロセスでは、オペレーティングシステムやブラウザが提供する API を使用する必要があります。
具体的な期限やタイムラインは明らかにされていないが、Googleはパスキーのサポートが2022年と2023年に業界全体で利用可能になると述べ、FIDOアライアンスは新しい機能が今後1年以内にApple、Google、Microsoftから利用可能になる予定だと述べた。
「パスワードレスの世界への完全な移行は、消費者がそれを生活の一部に自然に取り入れることから始まります」と、マイクロソフトの製品管理担当コーポレートバイスプレジデントであるアレックス・シモンズは述べています。「実用的なソリューションは、現在使用されているパスワードや従来の多要素認証よりも安全で、簡単で、高速でなければなりません。プラットフォームを超えてコミュニティとして協力することで、ついにこのビジョンを実現し、パスワード廃止に向けて大きく前進することができます。FIDOベースの認証情報は、消費者と企業の両方のシナリオにおいて明るい未来を描いています。」
