「世界パスワードの日」の5月5日、Apple、Google、Microsoftが、FIDO AllianceとW3C(World Wide Web Consortium)が策定したパスワードレス認証の技術標準のサポートを拡大する計画を発表した。実現すれば、Webサイトやアプリのサインインに完全パスワードレスのユーザー認証を利用できるようになる。

パスワードによるユーザー認証は、インターネットで最大のセキュリティ問題であり続けてきた。簡単なパスワードは破られやすく、複雑なパスワードを設定すると管理・利用が大変になる。2要素認証やパスワードマネージャーによって少しずつ利用体験が改善されてきたものの、パスワードが原因のトラブルが後を絶たず、パスワードに基づいたユーザー認証からの脱却を目指した動きが進展し始めた。

FIDO Allianceは、漏えいのリスクが高いパスワード送信の代わりに、指紋認証や顔認証といった生体認証を用いてユーザーを認証する仕組みを構築。W3CとFIDO認証の標準化を進めてきた。

Apple、Google、Microsoftの3社が、それぞれのプラットフォームでパスワードレス標準のサポートを拡大することで、ユーザーは以下の2つが可能になる。

  • 新しいデバイスを含むユーザーが所有するデバイスで、FIDO認証資格情報(Passkey)への自動的なアクセス。アカウントごとのFIDO認証の再登録が不要になる。
  • OSプラットフォームやブラウザの違いを問わず、近くにあるデバイスのアプリやWebサイトへのサインインにユーザー所有のモバイルデバイスのFIDO認証を使用。

Apple、Google、Microsoftは2023年にかけて、これらをプラットフォームに実装する予定。

FIDOは公開鍵暗号方式を用いて堅牢なセキュリティを実現しており、スマートフォンなどユーザー認証機能を備えたデバイスに秘密鍵を保持させる。Googleが5日に公開したブログ記事「One step closer to a passwordless future」で、将来のパスワードレス認証のステップを紹介している。パソコンで新たにアプリやWebサイトにサインインする際に、ユーザー所有のPasskeyをストアしたスマートフォンでユーザー認証を行うように促される。パソコンの近くで、スマートフォンのユーザー認証を使ってスマートフォンをアンロックしてユーザー認証は完了。以降は、パソコンのユーザー認証によるアンロックでサインインできるようになる。

ユーザーが日頃使用しているスマートフォンのユーザー認証を利用することで、スマートフォンを使うのと同じぐらい簡単に、そしてパスワードよりも安全な生体情報を使った方法でユーザー認証を行える。FIDO認証はすでに多くのアプリやサービスでサポートされ、パスワードレスによるユーザー認証が利用されているが、これまでの実装ではパスワードレスを設定する前に、各デバイスでWebサイトやアプリごとに通常の方法でサインイン(登録)しなければならない。その段階で、パスワードの傍受や悪意のあるWebサイトに誘導するフィッシング攻撃に対する脆弱性が残る。将来のパスワードレス認証はエンドツーエンドの完全なパスワードレスになる。

しかも、標準に基づいた認証方法を、Apple、Google、Microsoftが共にサポートすることで、主要なOSプラットフォームやブラウザ、デバイスで完全パスワードレス認証を利用できるようになる。ユビキタス性とユーザビリティを兼ね備えた仕組みをユーザーに提供する。例えば、MicrosoftのWindowsで動作するパソコンでGoogleのChromeブラウザからアクセスしたサービスに、AppleのiPhoneのPasskeyを使ってサインインするといったことが可能になる。Microsoftのアレックス・シモンズ氏(Identity Program Management担当CVP)は「プラットフォームを越えてコミュニティとして協力することで、ビジョンがついに形になり、パスワード排除に向けて大きく前進することができた」とコメントしている。

また、これまでのFIDO認証にはPasskeyを備えたモバイルデバイスの紛失や故障でユーザー認証が行えなくなり、問題解決に時間がかかるデメリットがあったが、Googleによると、Passkeyをクラウドにバックアップし、安全に同期して新しいスマートフォンに変更できるようになる。