さて、今回の認証ネタは、「アクティブ認証」と「パッシブ認証」についてご紹介します。
「アクティブ」のほうは「活動的」な感じで使われることが多いですが、「パッシブ」のほうは聞いたことない人が多いかも??
これらは認証方法のことではなく、認証のタイプを表しています。
アクティブ認証は、認証を受けるユーザーが何らかの操作をする認証で、パスワード認証や先日ご紹介したキャプチャ認証における文字入力、生体認証における指紋や静脈といった生体情報を読み込ませる行動など、ユーザー側がなんらかの行動を必要とする認証のことです。
自分で行動しなきゃならないからアクティブってこと。
それに対してパッシブ認証は、ユーザーの操作を必要としない認証のこと。
どういうことかというと、たとえばWebサイトの場合だと、そのサイトにおけるユーザーの行動パターンや端末やIPアドレスなどの「いつも利用している状況=ユーザープロファイル」を保有し、ユーザーがアクセスしてきたときにそのプロファイルと現在のプロファイルが一致するかどうかで、そのユーザーが正当なユーザーであるかを判断する、というタイプの認証です。
生体認証も、通るだけで自動的に顔を認識して判断する場合は、パッシブ認証になりますね。
認証としての確実性ではアクティブ認証のほうが上ですが、アクティブ認証がユーザーに手間を強いるのに対して、パッシブ認証の場合は、ユーザーは何もしないで認証が行われるので、利便性という点では軍配が上がります。
ネットワークの脅威が増大するにつれてセキュリティ対策面で認証がより複雑化し、ユーザーのストレスが増加していく傾向がある今日、いたずらに手間をかけさせるのではなく、安全性を犠牲にしない範囲で、できるだけ手間を排除して利便性を高めていくことも大切な課題です。
お金の取引に関わることや、不正アクセスによって損失するリスクが大きな場合は、アクティブ認証で確実性を高めるケースがほとんどですが、ユーザーの利便性やスピードを優先し、多少のリスクをユーザーとサービス提供者が許容できるケースではパッシブ認証を使う、もしくはパッシブとアクティブを組み合わせた2要素認証にするなど、うまく使い分けて、安全性向上とユーザーストレス軽減という相反する課題をクリアしていくことが必要なのかもしれません。
なお、パッシブ認証で、ユーザープロファイルとの照合の結果、怪しいと思われる場合のみ追加の質問などを行い、本人確認を行うのが「リスクベース認証」と言われ、手間を減らしつつ精度も確保する認証として、注目されてきています。
リスクベース認証についてはこちらに過去の記事がありますので、ご覧ください。
(クリックすると新しいウインドで記事を開きます)
https://www.segunabe.com/2017/05/29/auth_info09/