パスワード認証から多要素認証・パスワードレスへ
続いて池原氏は認証方式の歩みを説明した。まずはパスワード認証。昔からのパスワード認証には多くの課題がある。一般的なパスワードは推測されやすく、容易に突破されるリスクがある。そのため、最近では、要件を複雑化し、推測を難しくするための取り組みが増えている。具体的には、記号の追加や最小の文字数の要求、ランダムな文字列の使用など、推測を難しくするための方法がサービスに導入されている。
池原氏は最近体験した、求められるパスワードの最小の長さが72文字であったとし「このような長さのパスワードは記憶するのが難しいため、パスワードマネージャーの使用を余儀なくされました」と、実用性を欠いていることを指摘。さらに管理をしているパスワードの数も200以上と、管理の難しさも課題であるとした。
ID・パスワードのセキュリティを強化するために、近年一般的となっているのが多要素認証。この認証方法にもさまざまな懸念が存在する。一例として、電話番号を使ったSMSや音声通話を活用する多要素認証があるが、通信が繋がらない地域の場合にはその有効性が疑問視される。更に、コストやSIMスワップ(SIMの乗っ取りによる多要素認証の突破)などの新たな懸念点も浮上している。
電話やSMSでなくAuthenticator(認証器)を使う方法もあるが、その導入自体がストレスとなり、ユーザー体験が低下する傾向も見受けられる。更に、多要素認証の導入にも関わらず、本物のサイトを模倣した偽サイトでユーザーから情報を引き出す手口もある。多要素認証はセキュリティを強化する可能性はあるが、それが全ての問題を解決するわけではないのだ。
最近の認証方式には、パスワードを使用しない方法が登場している。池原氏は「WebAuthn(WebAuthentication)」と「Passkeys」を紹介した。WebAuthnはパスワードの代わりに公開鍵暗号方式を利用し、登録したデバイスを認証の要素として活用する。このデバイスは複製が不可能であり、本人確認の一部として機能する。しかし、WebAuthnには欠点や制約も存在する。特に、デバイスを変更した際に登録情報を持ち越せないため、新たに登録しなおす必要があるのだ。
これに対する解決策として、多くのベンダーやプラットフォーマーが「Passkeys」の導入を進めている。Passkeysは、デバイス単位の認証ではなく、認証情報をクラウドを介して複数のデバイスで共有する。実際に、WebAuthnで定義されているAPIを使用しながら、クラウドを通じて複数のデバイスでの共有が可能なパスワードレスの認証の実装が多くのサービスで導入されている状況である。
