アップルとGoogle、マイクロソフトの3社は5日(米現地時間)、パスワードを要らないユーザー認証のしくみをWebサイトやアプリ上で使いやすくすることを共同で発表しました。
具体的にはFIDOアライアンスとWorld Wide Web Consortium(W3C)が策定したパスワードレス規格のサポートを拡大するかっこうで、より迅速、簡単、かつ安全なユーザー認証を約束しています。
FIDOは「Fast IDentity Online(すばやいオンライン認証)」の略で、パスワードなしでログイン認証できる仕組みのこと。パスワードの代わりにUSBやBluetoothによる物理キーのほか、指紋や手の静脈、虹彩などの生体情報が“鍵”として使われます。
共同発表によると、今後は技術標準を広めることで、Webサイトやアプリがエンドツーエンドのパスワードレスオプションを提供できるようになるとのことです。ユーザーはパスワードを入力する代わりに、iPhoneのFace IDやTouch IDなど、毎日何度も行っているデバイスのロック解除と同じ操作で認証できるようになります。
FIDOアライアンスは、パスワードのみによる認証がウェブでの最大のセキュリティ課題の1つだと指摘しています。多くのパスワードを管理するのは面倒であり、ユーザーは同じパスワードを複数のサービスで流用しがちのため、アカウント乗っ取りやデータ流出、ひいては個人情報が盗まれることに繋がりやすいというわけです。
また、この新方式は従来のパスワード管理ソフトや二段階認証(SMSで送信するワンタイムパスワードなど)よりも「根本的に安全」だと説明されています。
アップル、Google、MSの3社とも、すでにFIDOアライアンス標準をサポートしていますが、今後は以下の新機能が使えるようになると予告されています。
- すべてのデバイスですべてのアカウントにFIDO認証を再登録することなく、そのユーザーが所有する他のデバイスや新しいデバイスでFIDO認証資格情報(一部では「パスキー」とも呼ばれる)を自動的にアクセスできるようにすることで、シームレスにパスワードレス認証を使える
- そのとき使っている(PCなどの)OSプラットフォームやブラウザに関係なく、近くにあるモバイルデバイスでFIDO認証を使うことで、(PCなどの)デバイスのアプリやウェブサイトにサインインできるようにすること
つまりMSのWindows 11がインストールされたPC上で動くGoogleのWebブラウザChromeに、iPhoneのFace IDなどでサインインできるようになる、といったところです。
これらの新機能は、この1年間でアップル、Google、MSの各プラットフォームで利用可能になる予定とのことです。
おそらくハイテク各社は自社プラットフォームごとにユーザー認証を別々にした方が、ユーザーを囲い込むためにも都合が良いはずで、利害関係を乗り越えて協力にいたったのは歓迎すべきことでしょう。まもなく世界の人々は、パスワードを管理する面倒さや個人情報が流出する恐怖から解放されるかもしれません。
Source:FIDO Alliance,Apple,PR TIMES