パスワードレス認証

掲載:2024年03月18日

用語集

「パスワードレス認証」とは、文字どおりパスワードを必要としない認証方法のことです。オンラインサービスやデバイスを利用する際、従来はIDとパスワードで認証する方法が一般的でした。しかし、パスワードには推測や流出のリスクがあります。パスワードレス認証は、パスワード以外の認証要素を用いることで安全性を高めています。

         

まず知っておきたい、認証の三要素とは

認証は、サービスやデバイスにアクセスしようとする人が本人であることを確認するものです。認証に用いる情報には以下の3種類があり、これを「認証の三要素」といいます。

  • 知識情報:本人だけが知っている情報
  • 所持情報:本人だけが持っている情報
  • 生体情報:本人だけが持っている身体的な特徴の情報

本人だけが知っている文字・数字・記号の組み合わせであるパスワードは、知識情報に該当します。パスワードレス認証は、主に知識情報以外の所持情報や生体情報を用いる認証方法です。

パスワードレス認証の具体例

パスワードレス認証の代表的な4つの具体例を紹介します。

1)生体認証
認証の三要素のうち、生体情報に該当します。
生体認証は、指紋・顔・虹彩など、ユーザーの身体的な特徴を用いて認証する方法です。偽造や複製が困難なため、高いセキュリティを実現できます。スマートフォンのロック解除などで広く使われている認証方法です。

2)デバイス認証
認証の三要素のうち、所持情報に該当します。
デバイス認証は、ユーザーが所持するスマートフォンやタブレットなどのデバイスを用いて認証する方法です。デバイスで生成するワンタイムパスワードや、デバイスへのプッシュ通知などを使用します。パスワードよりも流出リスクが低く、持ち歩いているデバイスを使えるため利便性も高い方法です。オンラインバンキングの二要素認証などに利用されています。

3)マジックリンク
認証の三要素のうち、所持情報に該当します。
マジックリンクは、ユーザーがサービスにログインする際、自身が登録したメールアドレスやSMSに一時的なログインリンクが送信される方法です。メッセージを開いてクリックすることでログインできます。クラウドサービスのログインやパスワードリセットなどで利用したことがある人も多いでしょう。

4)FIDO認証
認証の三要素のうち、所持認証と生体認証の組み合わせに該当します。 FIDO(Fast Identity Online)認証は、FIDO Allianceが策定したオープンな認証規格です。スマートフォンなどのデバイス側で生体認証し、その結果をログイン先のサービスと連携します。認証のための情報をサーバーに保管する必要がないため、安全性が高い認証方法です。オンライン上での決済時などに利用されています。

パスワードレス認証のメリットとデメリット

パスワードレス認証には以下のようなメリットとデメリットがあります。

メリット
  • パスワードを覚える負荷や、忘れてログインできなくなるリスクがない
  • パスワード流出によるセキュリティリスクを軽減・排除できる
  • サービス提供者は、パスワード管理やパスワードリセットの負担を軽減できる
デメリット
  • デバイスの紛失や盗難によって第三者に認証される可能性がある
  • 生体情報はリセットできないため、流出すると被害が拡大するおそれがある
  • メールの確認など、ID・パスワード認証よりも手間がかかる場合がある

安全性・利便性の高いパスワードレス認証は、認証方式の主流になっていく可能性が高いでしょう。しかし、どんなに技術が進んでも100%安全なわけではありません。メリットとデメリットをよく理解して活用することが大切です。