Apple、Google、Microsoftがパスワード廃止、新規格「パスキー」対応へ向けて共同提携

tag:,


大手OSベンダーのApple、Google、Microsoftがパスワードなしでログインできる新規格への対応を拡大する方針を発表しました。
この新しい規格は、ウェブをより安全かつすべての人が利用できるようにするため、FIDOアライアンスとワールド・ワイド・ウェブ・コンソーシアムによって作成されたものです。

 


 

パスワード不要になる新規格とは

「マルチデバイスFIDO認証情報」または「パスキー」(以下パスキー)と呼ばれるもので、パスワード入力が不要になる新たな認証方式です。

パスワードマネージャーを使って、パスワード1つですべてログインできる方法と同様に、パスキーはAppleやGoogleなどの大手プラットフォーマーによってバックアップされます。
そのため認証情報を新しい端末に簡単に取り込め、端末間での同期も簡単、個々のハードウェアでアカウントを再登録する必要がありません。
またOSや端末に関係なく、モバイル端末でFIDOでのログインをすることで、近くにあるPC等でもWebサイトやアプリにサインインできるようです。アプリやウェブサイトにログインしようとすると、スマートフォンへ認証リクエスト通知が送信され、暗証番号入力または生体認証すれば完了。
電話使用の2段階認証の方法と似ていますが、パスキーは認証段階を追加する目的ではなく、パスワード入力方式に置き換わる点が異なります。

パスキーのユーザーインターフェース(出典:FIDO アライアンス

 

Bluetoothを使用

この新方式ではBluetoothが採用されており、ホワイトペーパーには「Bluetoothを利用するには、端末が物理的に近くにあることが必要で、認証時に本人のスマートフォンを利用することでフィッシング詐欺対策となる」「Bluetoothはただ端末が近距離にあることを証明する目的」で使用すること、またログイン処理については「Bluetoothのセキュリティ性能」には依存しないことが記載されています。Bluetooth機能はほとんどのPCやスマートフォンに搭載されていますが、古いパソコンでは非搭載の可能性もあります。

 

パスキー対応の現状

FIDOのブログでは、「この新機能については来年中にApple、Google、Microsoftの各プラットフォームで利用できるようになる見込みです。」と記載されています。
Appleでは、iOS 15とmacOS Monetaryですでにこのシステムを稼働していますが、他のプラットフォームとの互換性はありません。
Googleのパスキー対応はAndroidのPlayサービスですでにみられるので、古いAndroid端末での対応も準備でき次第対応されるはずです。

 

パスキーに対する反応

ArsTechnicaのコメント欄には350を超えるコメントが寄せられていますが、その大半はパスキーに対する批判的なコメントのようです。「いいね」リアクションが多い順に以下の通り。

人々が弱いパスワードを使用するのでパスワード方式は悲惨ですが、あなたがパスワードを忘れることを主張できるのでそれはまた素晴らしいです。すべてのデバイスが他のデバイスの鍵である場合、そういうわけにはいきません。

ArsTechnica

1000万通りの壊滅的なシナリオが想像できます。

ArsTechnica

パスワードは、修正第5条の下で証言の証拠と見なされます。 したがって、自己負罪につながる証言を提供するように強制することはできないため、政府はパスワードの提供を強制することはできません。 物理的な鍵は(どれほど洗練されていても)証言ではないため、修正第5条では保護されていません。

ArsTechnica

セキュリティの観点から、これはMFA(多要素認証)とまったく同じです。 あなたが何か(電話のロックを解除するための生体認証)、あなたが持っているもの(電話)、またはあなたが知っている何か(電話のロックを解除するためのパスワードまたはPIN)で認証するのと同じです。 良い考えのようですが、いつものように、悪魔は細部に宿っています。 アカウントの乗っ取り(電話の場合)、Bluetoothのなりすまし、フェデレーションアカウントの脆弱性、そしてもちろん電話へのアクセスの喪失や欠如に関する問題について、多くの潜在的な脆弱性が見られます。 しかし、より大きな問題は「なぜ」です。 オーセンティケーターを使用した確実なMFAはすでにあります。 単にそれらを強制しないのはなぜですか? SMSベースのMFAでさえ、ほとんどの重要でないアプリケーションには「十分」であり、実装は簡単です。 よく理解されている既存のソリューションを使用して、すでに大部分が解決した問題に対して、さらに別のアプローチを実際に作成する必要がありますか?

ArsTechnica

 

まとめ

複数のパスワードを使えば管理が難しく、同じパスワードを複数アカウントで使い回せばハッキング時の被害が大きくなるといった悩みが早く解消されるといいのですが…。パスキーの安全性に関する検証・解明が待たれるところです。

出典:ArsTechnica
アイキャッチ画像:Image by mohamed Hassan from Pixabay


Comments are closed.