パスワードレス認証という言葉を聞いたことがあるけれども、具体的にそれはどんな認証方法で、それは自社でも使うことができるか、そんなことが気になっている中堅・中小企業の情報システム担当の方もいらっしゃるのではないでしょうか。パスワードレス認証は、パスワードの流出が多く起こっている中でより安全にログインやサービスの利用ができるよう考えられ広まってきた認証方法です。身近な例ではスマートフォンの顔認証や指紋認証もありますが、ID・パスワードを利用せずにサイトへログインできるシングルサインオン認証もパスワード認証の一つとして存在します。ここではパスワードレス認証とはどのようなものか情報収集をされている情報システム担当の方へ向けて、そもそもパスワードレス認証とはどのようなものか、従来のパスワードレス認証の問題点、パスワードレス認証の種類、メリット、デメリットなどをご案内いたします。スマートフォンの顔認証・指紋認証やシングルサインオンなど企業でもい使いやすいパスワードレス認証の方法がありますので、ぜひ自社にあう認証方法があれば詳しい活用を検討してみてください。
1.パスワードレス認証とは
ここではパスワードレス認証とはどのようなものかなど、まず最初に知っていただきたいことをご案内いたします。
1-1.そもそもパスワードレス認証とは?
パスワードレス認証とは、会員サイトや業務で利用するWEBサイトへログインする際やオンラインバンキングの送金時にあらかじめ決めたパスワードを利用せずにログインする認証方法のことを言います。WEBサイト以外にも、身近な例もありますが、スマートフォンのロック解除を顔認証や指紋認証で行う方法もパスワードレス認証と言います。他にも、入退室を暗証番号を使わずICカードで行うことなども、広い意味でパスワードレス認証と言えます。
パスワードにはログインIDとセットで第三者へ漏洩した場合には、簡単に不正ログインされてしまうという欠点があります。それ以外にも入力が煩雑だったり記憶に限界があったりとパスワードを使ったログイン認証には利便性を損なう課題もあります。
そのため近年ではログインを必要とする様々なITサービスが仕事においてもプライベートでも増えていることもあり、様々なパスワードレス認証の方法が登場しています。パスワード以外の認証方法としては、先述の顔認証や指紋認証をはじめとした生体認証のほか、SMSやハードウェアトークンを利用したワンタイムパスワードなども存在します。これらは本人しか持ちえない顔や指紋を使ったり、本人しか管理できないスマートフォンやトークン機器を使うことでパスワードに代わってログイン認証を行っています。このような本人しか持ちえない情報や道具を使って安全性を高めたログイン方法のことをパスワードレス認証と言います。
1-2.ログイン認証に必要な3要素
ここではログイン認証で認証方法に利用されている3要素についてご案内いたします。
●知識要素
知識要素は、本人だけが知っている情報を利用した認証要素のことです。例えば、パスワードや暗証番号、秘密の質問と答えなどが該当します。記憶やメモに頼って入力できる認証要素とも言えます。
●所有要素
所有要素は、本人だけが持っている物理的な物を使った認証要素のことです。例えば、スマートフォンやワンタイムパスワード生成トークン、ICカード、USBキーなどが該当します。スマートフォンにSMSやメールでワンタイムパスワードを送ることも含まれます。
●生体要素
生体要素は、本人の身体の一部を利用した認証要素のことです。スマートフォンのロック解除などでもおなじみの顔認証や指紋認証のほかにも、手のひらの静脈を使った認証、瞳を使った虹彩認証、声認証などもあります。
またログイン認証の際に時々出てくる「二要素認証」というのは、この中の要素を組み合わせてセキュリティを強化したタイプの認証方法を言います。例えば、パスワード(知識要素)を送信した後にスマートフォンに届くのワンタイムパスワード(所有要素)入力する認証方法は、複数の要素を組み合わせて知識要素と所有要素を使っているため二要素認証となります。
2.従来のパスワード認証の問題点
ここでは従来のパスワード認証の問題点についてご案内いたします。
2-1.パスワードが漏洩すると不正アクセスを防ぐことができない
現在の認証に関する問題で最も大きい問題と言えるのが、パスワードが漏洩すると誰も不正侵入を防ぐことができない、という点です。
IDとパスワードだけの2つの文字情報で認証をするため、IDやパスワードが流出しただけで不正ログインが可能になってしまいます。この場合、どんなに長いパスワードを設定していても流出していればパスワードの長さは長くても短くても関係なくなってしまいます。
パスワードは、ウェブサイトへの不正アクセスなど様々な経緯や経路で流出が起きています。もはや自分のパスワードの流出は起こるものと考えておくことの方が自然なのかもしれません。
2-2.パスワードを総当たりで試されると不正アクセスを防ぐことができない
攻撃者にパスワードを総当たりで試行された場合にも、パスワード認証では不正アクセスを防ぎきることはできません。総当たりなので「1」がだめなら「2」に変えて、というように攻撃者が基本的に自動でパスワードを変えて総当たりで攻撃してくる手法(ブルートフォース攻撃)があります。総当たりの他にも「password」などいわゆるよく使われるパスワードを集めたものを順次試行してくる手法(パスワードリスト攻撃)もあり、こういったリストと自分のパスワードが合致してしまうと不正アクセスを防ぐことができません。
2-3.パスワードを複数のサイトやサービスで使いまわししていると漏洩時に被害が拡大する
パスワード認証では、サイトやサービスごとにパスワードを変えていると忘れてしまってログインできなくなる問題があります。そのため、ついつい覚えられる同じパスワードを複数のサイトやサービスで使いまわして登録してしまうこともあるかと思います。こういう例は多いかと思いますが、1つのサイトからIDとパスワードが流出してしまい攻撃者の手に渡ってしまうと、様々なサイトで不正アクセスが起こるリスクが発生してしまいます。
パスワードを複数のサイトで使いまわす理由には、このほかにもパスワードをメモをして管理することや都度都度新しいパスワードを考えるのが面倒などの要因もあります。
3.パスワードレス認証の種類
ここではパスワードレス認証にはどのような種類があるかご案内いたします。
3-1.生体認証
生体認証は、自分の身体の一部を使って認証を行うものです。指紋や顔、静脈、虹彩などを使って他の人との違いを利用して認証を行います。指紋や顔はスマートフォンのロック解除などで幅広く使われていますが、静脈や虹彩といった認証は、ATMであったり空港など強力な認証が必要なシーンで利用されることが多い認証方法です。
スマートフォンを使った場合は、FIDO認証やパスキー認証とも言われています。
なおパスキー認証についてはこちらの記事で詳しく説明しています。興味がある方はぜひこちらもご覧ください。
⇒パスキーを使ってWEBアカウントのパスワード管理を便利に!安全性も高める
3-2.デバイス認証
主にIT機器を使って認証を行うのがデバイス認証です。スマートフォンやタブレット、PCにSMSやメールを送ってワンタイムパスワードを送って利用したり、USBポートに認証キーをさして利用したり、ワンタイムパスワードを発行するドングルを利用することもデバイス認証と言います。また、認証アプリ(例えばMicrosoft Authenticator)を使った認証もデバイス認証に含まれます。
3-3.マジックリンク認証
マジックリンク認証は、IDなどを入力してログイン操作を行うと、事前に登録してあるメールアドレスあてにログインURLが送付される認証方法です。メールという古典的な方法を使いますが、この方法ではログインURLが事前に登録してある自分のメールアドレス宛に届くので一定の安全性は図っていくことができます。
3-4.シングルサインオン認証
シングルサインオン認証もパスワードレス認証の1つと言えます。これは一度本人がログインを行うと、他のアプリケーションやサイトでは既に入力してあるログイン情報を使ってログイン認証を行うものです。主に企業内で使われていることが多く、例えばブラウザにGoogleアカウントで入力しておくと、勤怠管理システムやSalesforceなどにパスワードなしでログインできるということも行われています。
4.パスワードレス認証のメリット
ここではパスワード認証のメリットをご案内いたします。
4-1.セキュリティの安全性を向上させることができる
パスワードレス認証の一番の達成目的でありメリットというのは、このセキュリティの安全性を向上させられることにあります。
固定パスワードを使わずに運用できる会員サイトであったり、特に銀行や証券など資産を扱うサイトでは、固定パスワードを使っているとログイン情報や決済用の固定パスワードが流出した際に資産が直接的に失われてしまうリスクがあります。そのため、固定パスワードを使わずに生体認証を使ったりワンタイムパスワードを利用することで、その人だけにしか決済やログインをさせない方法を取っていくことができます。
4-2.固定パスワードを作成したり記録・記憶する手間が減らせる
パスワードレス認証は、指紋や顔などの生体を使ったり、その都度発生するワンタイムパスワードを使って認証を行うため、利用者が最初に固定パスワードを考える手間も削減することができます。近年パスワードは16桁以上にして大文字と小文字を入れて、なおかつ記号も1つ以上変えて・・・など、より複雑にしないと登録ができない場合もあります。パスワードも複雑性が求められることが多く、そういったパスワードを記録することにも手間がかかりますがパスワードレスにできればこれらの手間を省くことができます。(記録を楽にする点では、最近はパスワード管理アプリなどもありそれらを活用することもできます)
4-3.シングルサインオン認証なら完全パスワードレスとなり生産性を上げることができる
シングルサインオン認証であれば、最初に大元のGoogleアカウントやマイクロソフトアカウントなどでログインは必要ですが、許可を得ているサイトやアプリにログインする際には完全にパスワードレスで利用することができます。シングルサインオンは、IDやパスワードの入力欄を出さずにそのままスルーしてログインできるので、ID・パスワードはなんだったっけ!?という無駄な時間も省くことができ、生産性も向上させることができます。
5.パスワードレス認証を利用する場合に注意すべきこと
ここではパスワードレス認証を利用する場合に注意すべきことをご案内いたします。
5-1.認証を行う端末が故障するとログインできなくなる
例えば、ワンタイムパスワードを発行するトークンを落下させて壊してしまったり、スマートフォンを水没させてしまい起動できなくなるなど、パスワードレス認証に利用していた端末が使えなくなると、ログインができなくなる問題があります。このような場合にはサービス側に復旧用のメールアドレスを登録するなどすると比較的早く復活することができる場合もあります。日常は便利に安全になりますが、端末が壊れた際の対応については最初に調べておくことをおすすめします。
5-2.スマートフォンで生体認証を使ってサイトへログインする場合OSをまたいだ機種変更すると再登録が必要になる
アマゾンやGoogleなどにスマートフォンからログインする場合は、既に顔認証や指紋認証などの生体認証をパスワード替わりに利用することができます。(詳しくはパスキーといいます。)これらは、iOSやAndroidといったスマートフォンのOSを使って認証を行うため、iPhoneからAndroidへ機種変更する際には生体認証情報を移行できないため、アマゾンやGoogleなどのパスワードレスをログインに利用しているサイトへ機種変更前にログインして、機種変更を行うための手続きが必要になります。
コメント