パスワードレス認証の仕組みとは？FIDOの種類や導入するメリット・注意点を解説

かつてはセキュリティ情報としてパスワードを使う、パスワード認証が定番でした。しかし、パスワード認証はユーザーによるパスワード管理が難しい、パスワードを破られる可能性がありセキュリティが甘い、という問題もあります。

そのため、近年はパスワードを使わないパスワードレス認証が増えています。それでは、パスワード認証よりもセキュリティレベルが高いパスワード認証とは、どのような仕組みなのでしょうか。 ここでは、パスワードレス認証の仕組みや種類、メリットや注意点を解説していきます。

1.　パスワードレス認証とは、どんな仕組み？

パスワードレス認証とは、パスワードを使わない認証方式のことです。例えば、指紋認証や顔認証、PINコードによる認証でセキュリティを高めます。

パスワード認証はIDとパスワードの組み合わせで認証する方法で、ユーザーが複雑なパスワードを管理することでセキュリティを守るという仕組みでした。

パスワードレス認証ではユーザーがパスワードを管理する必要がなくなり、指紋認証や顔認証を用いれば、パスワードを入力しなくてもセキュリティを高められます。パスワードのように覚えておく必要もないので、ユーザーの負担が減ります。

パスワードレス認証に関しては、FIDO（ファイド）「Fast Identity Online」という国際規格が存在します。これはパスワードレス認証に関する技術開発や標準化を進めるための国際規格ですが、技術的な意味で使われることもあります。

2.　パスワードレス認証（FIDO）の種類

パスワードレス認証の国際規格、FIDOが推奨している認証規格は3種類あります。これらの認証規格についてご説明します。

FIDO UAF

FIDO UAFのUAFは「Universal Authentication Framework」の略で、主にスマートフォンで利用することを想定した規格です。

顔認証や指紋認証などの本人確認手段を用いてパスワードレスに認証を行う仕様です。スマートフォン端末で一度認証すると、その後は認証する必要がないという手軽さがあります。

パスワードが一切不要なのでユーザーが使いやすいという点がメリットです。また、登録した顔認証や指紋認証のデータはサーバー側に送られないので、セキュリティ情報が外部に漏れることはありません。

デメリットとしては、FIDOに対応した端末が必要という点があります。FIDOに対応していないスマートフォン端末ではUAFを使えません。端末がFIDOに対応していれば、セキュリティレベルが高くユーザーの利便性も高い仕様といえるでしょう。

FIDO U2F

FIDO U2Fは最初にユーザーIDとパスワード、または、PINコードを入力して認証し、その後セキュリティーキーなどを使って第二認証を行う仕様です。第二認証は、端末のUSBポートにトークンをさす、NFCやBluetoothでキーを接続するなどの方法で行います。

IDとパスワード、または、PINコードを入力する必要があるという点において、UAFより劣ります。しかし、FIDO対応の端末でなくても利用できる点はメリットといえるでしょう。

企業などの組織で大量のFIDO対応の端末を用意できない場合には、補助的にU2Fを使うという方法が有効です。

FIDO2

FIDO2は新しく登場した認証規格で、メリットとしてFIDO対応の端末が不要ということがあります。専用機器を購入することなく導入できるので、導入のハードルが大きく下がりました。

WindowsやAndroidなどのOSはFIDO2に対応済みです。MacやiPhoneなどのiOSでは対応していませんが、ブラウザのSafariが対応しているため、利用することができます。生体認証情報はサーバー上に流出することがなく、登録した端末でのみ利用するため、セキュリティが保たれています。

このようにFIDO2は専用機器が不要で導入しやすく、セキュリティレベルが高い画期的な認証規格です。導入のしやすさから、幅広く高レベルのセキュリティ対策が広がることが期待されています。

3.　パスワードレス認証を導入するメリット

パスワードレス認証を導入すると、以下のようなメリットが得られます。

セキュリティ強化につながる

パスワードを使わないことで、セキュリティの強化につながります。パスワードはツールによる総当たりでアタックされることもあり、他人から盗まれるとセキュリティが破られてしまいます。したがって、パスワードによる認証はセキュリティレベルの高い手段とはいえません。

しかし、パスワードレス認証なら顔認証や指紋認証などの認証情報を使ったり、第二認証を用いたりすることでセキュリティレベルを高められます。これらの認証情報はネットワーク上に流出しない仕組みになっているので、安全です。

ユーザーが複雑なパスワードを管理することなく、高度なセキュリティレベルを保てるというのは非常に大きなメリットといえます。

利便性が向上する

パスワードで認証する方式の場合はユーザーがパスワードを管理する必要がありますが、パスワードレス認証ならその必要がないので、利便性が向上します。

パスワードを使ってセキュリティレベルを高めるためには、英字や数字、記号などを混ぜて他人に想定されにくい長いパスワードを生成する必要があります。これは、ユーザーの手間と記憶力を使って高いセキュリティを保っている状態です。しかし複雑なパスワードを覚えておくのは困難なので、結局単純なパスワードになったり使いまわしたりしてセキュリティレベルが下がってしまいがちです。

パスワードレス認証では、ユーザーが複雑なパスワードを管理したり入力したりする必要がありません。顔認証や生体認証などがパスワード認証の代わりをしてくれるので、ユーザーの利便性を損なうことなく、セキュリティレベルを高められます。

4.　パスワードレス認証を導入するデメリット

パスワードレス認証にはメリットが多いですが、一方でデメリットもあります。ここでは、デメリットについて解説します。

デバイス認証の場合、紛失するとログインできない

パスワードレス認証ではスマホ端末などで生体認証やデバイス認証を行いますが、肝心のスマホ端末などのデバイスを紛失してしまうとログインできません。大事なスマホ端末を紛失したり盗まれてしまったりすると、悪用される恐れもあります。

デバイス認証の場合はデバイスが重要な役割を果たすため、厳重に管理する必要があります。

不具合により、かえってログインに時間がかかる可能性がある

生体認証の場合、認証がうまくいかず、時間がかかる可能性があります。

顔認証の場合、眼鏡の有無や髪形の変化などによりうまく認証できないこともあるでしょう。寒い日に血流が悪く静脈認証がうまくいかない、指紋認証でなかなか指紋を認証できないなどということも起こりかねません。

5.　まとめ

この記事では、パスワードレス認証について、いくつかの種類やメリット、注意点を解説しました。パスワードを使わないパスワードレス認証の新しい機能は進化しており、ユーザーの利便性を損なうことなくセキュリティレベルを高めることが可能です。

自社システムのセキュリティレベルの見直しをお考えなら、パスワードレス認証の仕組みをうまく取り入れていくことをおすすめします。