パスワード以外を使用したユーザー認証
ではパスワード以外を使用したユーザー認証にどんなものがあるのか。たとえば従来からあるのはメールでマジックリンクやワンタイムパスワードを送信するなど、パスワードを覚えておく必要がない、覚えさせない方法だ。
またセキュリティキーや、指紋、顔などの生体認証を活用する方法も登場している。「その中でも最近、多くのサイトで導入されている2つの要素技術について紹介したい」(池原氏)
一つがさまざまなWebサイトで導入が進んでいるWeb Authentication(WebAuthn)APIを使用した認証だ。WebAuthnは公開鍵暗号方式を使用するブラウザベースのAPIで、登録したスマートフォンやPCなどのデバイスを要素(認証器)として使用することで、次にログインする際にその要素を使って認証を行うことができる、世界的な認証標準である。機密情報をオンラインで保護するためのより良い代替手段として、主要なブラウザでサポートされている。「この仕組みは非常によく、私自身も今日も使っているが、これまでの利用には課題もあった。それはデバイスごとに登録しなければならない点だ」と池原氏は話す。たとえば1人1台のデバイスの時代なら良いが、今は1人複数台のデバイスを所持している。つまり複数台分、登録するという手間がかかるのだ。
このような手間を解消する手段として、最近、注目を集めているのがPasskeys(パスキー)である。パスキーはWebAuthn APIを利用しつつ、複数のデバイスで共有できる認証の仕組みなのだ。「これが一番の特徴です」と池原氏は語る。
もう一つパスキーの特徴が、ユーザーIDとWebサイトやアプリケーションの両方に紐付けられることだ。認証時にはRelying Party IDを使用することで、自動的にユーザーIDを検出する。「パスキーを使えば、フィッシングサイトへの入力を防止することができる」と池原氏は語る。
パスキーと一口に言っても2種類ある。一つは特定のデバイスに紐付けられたパスキー。これは他とは共有できないことから、「Device-bound passkeys(デバイスにバインドされたパスキー)」と呼ばれている。もう一つがデバイス間やクラウドアカウント間で同期できる「Synced passkeys(同期されたパスキー)」である。その名の通り、一つのIDで登録したパスキーを、同じIDを共有している別の端末でも使うことができる。
