4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは：「秘密を共有しない」のが鍵（1/3 ページ）

共通ID「Yahoo! JAPAN ID」を使って多数のWebサービスを展開するヤフー。同社では、パスワードを無効にし、代わりにSNSや生体認証を使った新たなログイン形式を推進している。「パスワードよりも安全で、簡単」というその中身とは。

[高木理紗，ITmedia]

ヤフーのサービス統括本部 IDソリューション本部の三原一樹氏

　スケジューラーやメール、オンデマンドの映像配信サービスなど、今や手軽に使えるようになったWebサービス。プライベートや仕事の場面でも使えるものが増えている。

　しかし、「しばらくログインしていないうちにパスワードを忘れてしまい、再発行してまた忘れた」「いつの間にかパスワードが漏えいし、誰かが自分になりすましてログインしていた」といったトラブルの経験はないだろうか。

　そんな手間やリスクをなくそうと、近年はパスワード以外の認証を取り入れるのがトレンドになりつつある。特にポータルサイト「Yahoo! JAPAN」をはじめ、「Yahoo! ショッピング」「Yahoo! メール」などのWebサイトを展開するヤフーは「パスワードレス」を強力に推し進めようとしている。

　同社のWebサービス共通のアカウント「Yahoo! JAPAN ID」は、2018年9月時点で4500万人を超えるユーザーを抱え、その数を伸ばしている。従来は、IDとパスワードを入力するタイプの認証形式を使っていたが、現在ではSMS認証や生体認証など、“パスワードを使わない”形式に移行しているという。一体何がきっかけだったのか。

パスワード認証の何が課題なのか

　2019年1月に都内で開かれたイベント「Yahoo! JAPAN Tech Conference」で講演した同社の三原一樹氏は、「そもそも、パスワードを使った認証には、セキュリティ面のリスクや使いにくさといった課題があった」と語る。

　三原氏によれば、同社が独自に行った調査では、Webサービスのユーザーの96％が「パスワードを忘れたことがある」と回答し、73％が「複数のサービスで同じパスワードを使い回している」と答えた。

（画像提供：ヤフー）

　ユーザーによるパスワードの使い回しは、深刻なセキュリティリスクにつながりかねない。使い回し先の一つからIDとパスワードの組み合わせが漏えいしてしまえば、悪意ある第三者がその情報を使って手当たり次第にWebサービスなどへのログインを試みる、いわゆる「リスト型攻撃」で認証を突破されやすくなるためだ。しかし三原氏によれば、同じ調査では、リスト型攻撃について「知らない」と答えたユーザーの割合が85％に上ることも分かった。

　そこで同社が乗り出したのが、パスワードを一切使わない、いわゆる「パスワードレス認証」だ。