書籍「いちばんやさしいGoogleビジネスプロフィールの教本」

パスワード不要の認証「WebAuthn」の登場で、今後、パスワードは不要になるのか?

インターネットセキュリティー

パスワード不要の認証「WebAuthn」が登場しました。今後、パスワードは不要になると思いますか?

Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。

多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。

しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。

そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況も引き起こしてしまいます。

この状況を改善するために、パスワードに依存した認証ではなく公開鍵暗号などを用いることでWebの安全性や利便性をより高めようと、W3Cが標準化を進めているのが「Web Authentication」(WebAuthn)です。

パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ

WebAuthnとは?

WebAuthnとは、ウェブ技術の標準化を推進している団体のW3Cが策定したプロトコルです。
WebAuthnが導入されたウェブサービスは、パスワードが不要になります。その代わりに生体認証、顔認証、指紋認証などでユーザーを認証します。

ウェブサービスにユーザーがログインする際、IDを入力すればパスワード不要で、顔認証・指紋認証でログインできるようになるのです。

生体認証、顔認証、指紋認証を使うということは、本人以外ログインできませんので、第三者の不正ログインを防ぐことができ、高いセキュリティを確保することができます。

また、高いセキュリティを保ったまま、ユーザーはパスワードの管理が不要になるので、ウェブの安全性が高くなることは間違いありません。

WebAuthnは普及するのか?

今のところGoogle、Microsoft、Mozillaがサポートする模様です。でも、サービス側がウェブサイトに実装しなければならないので、Google、Amazonなどの大手から導入されることになるはず。

今でもiOSのAmazonアプリは、同じような仕組みを導入して指紋認証でログインに対応しています。ちなみに2014年からなので、Amazon恐るべし。

世の中のウェブサービスに普及するには、ある程度の時間がかかりそうですね。

パスワードの問題点

次に、今の時点におけるパスワードの問題点について考えてみましょう。

パスワードの問題点は次のようなものが挙げられます。

  • パスワードの管理が面倒くさい
  • 推測されるパスワードだと、攻撃されやすい
  • パスワードを使い回した場合、どこかで情報漏えいされると、他のサービスもクラックされる
  • パスワードを忘れてしまうユーザーが出てくる

パスワードの管理が面倒くさい

ウェブサービスごとにパスワードを変えている場合、パスワードの管理は面倒です。

推測されるパスワードだと、攻撃されやすい

誕生日、イニシャルなどの推測されやすいパスワードだと、すぐに攻撃されてしまいます。

パスワードを使い回した場合、どこかで情報漏えいされると、他のサービスもクラックされる

様々なウェブサービスでパスワードを使い回した場合、どこかで情報漏えいされると、他のサービスもクラックされてしまいます。

パスワードを忘れてしまうユーザーが出てくる

パスワードを忘れて、ログインできなくなってしまうユーザーが出てきます。

パスワードのセキュリティを上げる方法

パスワードのセキュリティを上げる方法を紹介します。

  • ChromeやSafariを使って、クラウドでパスワードを記憶させる
  • 2段階認証

ChromeやSafariを使って、クラウドでパスワードを記憶させる

ChromeやSafariを使って、クラウドでパスワードを記憶させてしまえば、全てのウェブサービスで異なるパスワードを設定することが可能です。

セキュリティを上げるには、全てのウェブサービスのIDとパスワードを変えるのは理解できるけど、そんなの面倒だし覚えることもできませんよね?

ご安心ください。IDとパスワードは自分の頭で覚える必要はないのです。
全て、GoogleかAppleのクラウド上に保存しましょう。そうすれば、ログイン毎に、クラウドから自動で呼び出せるので、セキュリティは高いまま、利便性を確保できます。

「Chrome」「Safari」を使って、パスワードを安全に管理する方法!

メリットやデメリットは?

ChromeやSafariを使って、クラウドでパスワードを記憶させるメリットは、パスワードを覚えなくていいということ。

デメリットは特にありません。が、GoogleやAppleのサーバに自分のパスワードを預けることになるので、GoogleやAppleを信用していないユーザーは使わないはず。

2段階認証

2段階認証とは、パスワード以外に、その都度発行されるセキュリティコードが必要な認証方法です。セキュリティコードは、ログイン毎に変わりますので、2段階認証を設定しておけば、本人以外が不正にログインすることを防げます。

2段階認証によく使われるのが、スマホアプリのGoogle Authenticatorです。あとはネットバンキングに利用するパスワードを生成するトークンをお持ちの方も多いと思います。

2段階認証のメリットやデメリットは?

2段階認証のメリットは、毎回発行されるコードが変わるので、第三者が不正ログインすることを未然に防ぐことができます。

2段階認証のデメリットは、山程あるウェブサービスを全て2段階認証しようと思ったら、1つずつGoogle Authenticatorに設定しなければならず、これが面倒くさい。
しかも、Google Authenticatorは、iPhoneで異なる機種に機種変更すると、iTunesバックアップから復元しても、Google Authenticatorに登録したコードは全て消えてしまいます。再び設定を1件1件行わなければならないので、非常に面倒。
でも、同じ端末にiTunesバックアップから復元すれば、Google Authenticatorに登録したコードを復元できるのは謎。。バグっぽいけど。

2段階認証でアカウントの乗っ取りを防ぐ!
驚きのニュースがありました。米Facebookのマーク・ザッカーバーグ最高経営責任者(CEO)が使っていたTwitterなどのパスワードが何者かに盗まれ、アカウントが荒らされる事件が起きた。メディア各社が6月5日に伝えた。報道によると「Ou...

このあたりがもう少し改善されないと、2段階認証は拡がっていかない気がします。

パスワードを忘れてしまうネットリテラシーの低いユーザーにどのように対応するのか?

パスワードでも2段階認証を活用することで、高いセキュリティを確保することができます。

でも、パスワードを忘れてしまうようなネットリテラシーの低いユーザーに対して、2段階認証を薦めることはできませんよね?

高いセキュリティを確保したいけど、ユーザーに使ってもらえないなら意味がありません。

こんな場合に、パスワード不要の認証「WebAuthn」を利用することで、高いセキュリティと簡単なログインが実現することになります。

ただし、世の中のウェブサービスが「WebAuthn」に対応し、普及するには時間がかかります。

パスワード不要でログインできるサービスも出てきている

実は、パスワード不要でログインできるサービスが登場しています。

ログインするたびに、毎回ログイン用のURLがメールで送信されて、リンクを踏むだけで、ログイン認証されるシステムを紹介します。

Googleプロダクトフォーラムで活躍している友だちのブログを紹介します。

今回新しくなったログイン方法ですが、パスワードが不要になったというのが最も大きな変更点です。

具体的には以下の手順でログイン出来るようになりました。

  1. ジャンカラアプリからログイン画面を開く
  2. アカウントに登録しているメールアドレスを入力する
  3. メールアドレスを送信すると、ログイン用メールが届く
  4. メール本文内のリンクを開く
  5. ジャンカラアプリが開いて、ログイン認証される

ジャンカラのアプリのログイン方法が進化してる

これはいいですね。ネットリテラシーがどんなに低くても、OKです。メールさえ受信できればログインできるのは素晴らしいです。

「WebAuthn」の前の段階として、このようなサービスがどんどん普及していくはずです。