4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは：「秘密を共有しない」のが鍵（2/3 ページ）

[高木理紗，ITmedia]

ヤフーが取り組む「パスワードレス認証」とは？

　パスワード認証を突破した攻撃者による不正ログインを防ごうと、同社はこれまでもさまざまな方法に取り組んできた。ユーザーがログイン履歴を閲覧できる機能や、ログインがあった際にヤフー側からアラートを受け取れる仕組み、ログイン時にユーザーが端末でワンタイムパスワードを受信できる「二要素認証」などだ。

　しかし、アラートや履歴の閲覧では“既にあった不正ログインを見つける”方法のため、不正ログイン自体は防げない。「二要素認証」は設定に手間が掛かるなど、ユーザーの負荷が高まってしまう。

　「セキュリティや使いやすさの課題を根本的に解決するために、記憶に頼る『パスワード』を使った認証から脱却しようとしています」（三原氏）

　そこで同社では、従来のパスワード認証を使うIDに代わって、「パスワードレスID」を設け、スマホ向けアプリの設定には、ユーザーがパスワードを無効にできる「パスワード無効設定」を追加。パスワードを使わずに認証できる認証のうち、スマホで行う「SMS認証」「FIDO2（ファイドツー）認証」の2つを特に推進している。

ヤフーの「SMS認証」やパスワードレスID」登録の画面イメージ（画像提供：ヤフー）

　このうち、2017年に始まったSMS認証は、ログインの際、ユーザーが登録した携帯電話番号に送信される「確認コード」を使って認証を行う。スマートフォンなどの端末から設定でき、手軽な上、パスワードと違って「覚える」必要がなくなる。ただし、ユーザーの状況によってはSMSで確認コードを受け取るまでに待ち時間が発生する可能性があり、仮にユーザーが端末を紛失した場合、ヤフーの設定画面からSMS認証やメール認証を停止し、再度ログイン方法を設定し直すといった手間も発生する。

　こうした課題を解消する新たな方法として、同社が2018年10月に開始したのが「FIDO2認証」だ。現在は「『Android 7.0』かつ『Google Chrome 70』以上」のユーザーのみ使えるという。一体どんな仕組みなのか。