パスワードレス認証

パスワードレス認証とは、文字どおり「パスワードを使わずに本人確認を行うしくみ」です。

従来のログインでは「IDとパスワード」を入力するのが当たり前でしたが、いまその常識が変わりつつあります。背景には、パスワード流出や使い回しによる被害が後を絶たないことがあります。人の記憶に頼る方法では、安全性にも利便性にも限界があるのです。

パスワードレス認証では、生体情報やデバイス自体を“鍵”として使うのが特徴です。例えば、スマートフォンの指紋認証や顔認証、PCのセキュリティキーによる認証などが代表的です。これらは利用者本人しか持たない情報や物理的手段を利用するため、パスワードを盗まれることによる不正ログインのリスクを大きく減らせます。

近年では、「FIDO2」や「WebAuthn（ウェブオーセン）」といった国際標準の技術が普及しています。これらは公開鍵暗号の技術を用い、サーバー側には公開鍵とメタデータのみを保存し、秘密鍵はユーザー側に保存するしくみを採用しています。そのため、たとえサービスが攻撃を受けても、パスワードのように“まとめて流出”する危険がありません。また、複数のデバイスで同じ秘密鍵を同期して使えるなど、利便性も向上しています。

パスワードレスと聞くと「完全にパスワードがなくなる」と思うかもしれません。しかし実際には、サービスによってはバックアップ手段としてパスワードやPINを併用する場合もあります。重要なのは「パスワードを主体としない」設計へと移行している点です。

セキュリティの世界では、利便性と安全性がしばしば相反します。しかしパスワードレス認証は、そのバランスを変えようとしています。「覚える」から「持つ」「確認する」へ――。使う人にとっても企業にとっても、より自然で強固な認証のかたちといえるのではないでしょうか。