4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは：「秘密を共有しない」のが鍵（3/3 ページ）

[高木理紗，ITmedia]

生体認証情報に付き物の「情報流出リスク」をなくした方法

　ヤフーのFIDO2認証では、ユーザーはあらかじめ、自分の使う端末を「Yahoo! JAPAN ID」に登録しておく。ログイン時にユーザーが端末からIDを入力すると、ヤフー側は端末に「チャレンジ値」と呼ばれるランダムな文字列を送信。これを受け取った端末では生体認証を行い、成功すれば、端末ごとに異なる「秘密鍵」という仕組みを使ってチャレンジ値に署名し、ヤフー側に送信する。ヤフー側ではこの署名を「公開鍵」を使って検証し、成功すればログインが成立する。

　「従来の認証とFIDO2の最も大きな違いは、秘密を共有するかどうかです。例えば、従来のパスワード認証では、ユーザーが自分のIDとパスワードを事業者側に送信し、事業者側がそれを検証、識別してログインが成立するので、両者の間で『パスワード』という秘密を共有することになります。しかし、FIDO2では、ユーザーと事業者がそうした秘密情報を共有することはありません」（三原氏）

ヤフーが進める「FIDO2認証」の仕組み

　また、ユーザーがあらかじめ登録した端末からしか生体認証ができないようになっている点も重要だという。仮に他のWebサービスなどからユーザーの生体情報が流出したとしても、ユーザーの端末を奪取しない限り、第三者による不正ログインが起こりにくくなるためだ。

　FIDO2自体は、ヤフーが開発した仕組みではなく、Webブラウザでできる生体認証の国際的な標準規格だ。「FIDO（Fast Identity Online：高速オンライン認証）」と呼ばれる次世代型認証の普及を進める業界団体「FIDO Alliance」と、World Wide Web（www）で使われる技術の標準化団体「World Wide Web Consortium（W3C）」が共同で策定した。国内では、ヤフーが2018年9月にいち早くFIDO2の認定を取得し、同12月にLINEも認定取得を発表している。

---

　ヤフーは今後、生体認証やSMS認証、パスワード無効化といった機能を推進することで、パスワードを使わない安全な認証を目指すという。

　「今は、生体認証の対応デバイスやアプリを増やすための話し合いを重ねています。リスクの少ない、便利な認証を普及させることで、パスワードのない世界を安全に実現したいですね」（三原氏）