ニュース
» 2018年05月22日 14時00分 公開

半径300メートルのIT:ついにパスワードにさよならの時? それでも手放しで喜べないわけ (1/2)

ヤフーとソフトバンクがパスワードなしのログイン機能を発表し、とうとうパスワードにさよならの時が来たかと思った人、ことはそう単純ではありません……。

[宮田健,ITmedia]

ついにパスワードにさよならの時?

 5月18日、ネットサービス企業が相次いでパスワードに関する新たな取り組みを発表しました。まずは老若男女が使っているYahoo!のサービスで、諸悪の根源(?)となっているパスワードを“無効”にする機能がリリースされています。

Photo ヤフーのパスワードによるログインを無効にする機能の設定

 さらに同日、同じグループ企業であるソフトバンクの「My SoftBank」もログイン画面をリニューアルし、パスワードを入力しない新たなログイン方法「メールでかんたんログイン」を採用したことを明らかにしました。

Photo My SoftBankのパスワードを使わないログイン方法

 これらの機能に共通するのは、パスワードという「記憶」に頼らず、それ以外の方法で本人を確認するということです。パスワードは一度漏えいしてしまうと、それを覚えている他人と本人との区別がつかなくなってしまいます。

 情報漏えい事件が多発している今、パスワードだけでしかログインできないのでは、利用者を危険にさらすことになります。その点ではYahoo!がパスワードによるログインを無効にする、つまり「システムがそもそもパスワードを持たない」という選択をしたことはとても興味深く、大きな一歩といえるでしょう。

「多要素認証」を当たり前にしよう

 今回の仕組みは、いわゆる「二要素認証」を活用しています。本人を確認するためには、その人本人を示す要素である「生体情報」(Something You Are)、その人しか持っていない要素である「所持情報」(Something You Know)、そしてその人しか知り得ない要素である「知識情報」(Something You Have)を活用します。

 今まで慣れ親しんでいたパスワードは、3つ目の知識情報にあたり、今やそれだけではもはや本人確認ができない時代になってしまったわけです。もはやパスワードは「その人しか知り得ない要素」ではなく、情報漏えいによって公知の情報になっている場合があるからです。

 ならば知識情報だけでなく、その他の生体情報や所持情報も一緒に確認すればいい――というわけで使われ始めたのが、要素を2つ、もしくは3つを同時に利用する「多要素認証」です。二要素認証の要素は上記の4つの要素から選ばれているので、5要素認証、100要素認証などと数を増やしてもほとんど意味がないことが分かります。一般的な利用であれば、「二要素」あれば十分なのです。

 この二要素認証の普及に貢献しているのが「スマートフォン」です。今や誰もが絶えず持ち歩いているスマートフォンを、「所持情報」として活用しない手はありません。パスワードを入力したあと、もう1つの要素としてスマートフォンを使い、そこに届く「メール」や「SMS」に、何らかの情報を送り、それが届いたことをもって「今、ログインしているのが、正しく本人である」と判断できるのです。

 例えば既に「Googleプロンプト」と呼ばれる認証の仕組みを提供しているGoogleアカウントでは、ID、パスワードを入力すると、スマートフォンにインストールされたGoogleアプリ(最近はGmailアプリに変わったようです)にプッシュ通知が飛び、今、ログインしているのは本人かどうかを聞かれます。もし本人であれば、Yesを押せばログインが完了します。そのパスワードすら入力不要にするモードがあるので、スマホを鍵としてより安全な二要素認証が実現できるわけです。

 他にも、物理的な「鍵」を用いるなどの方法や、生体認証を併用する方法も現実的になりました。パスワードがなくなる時代は本当に来るのかもしれません。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -