長年に渡って本人認証の中心となってきた固定パスワード。
相次ぐパスワード漏洩などによる不正アクセスが絶えない今日では、固定パスワードに対する信頼性や安全性は著しく低下し、インターネットサービス提供事業者では、固定パスワードを廃止する動きが始まりました。

それは自社が提供しているサービスを不正アクセスから守るためです。
どれだけユーザーに対して警鐘を鳴らしても「安直なパスワードの使用」や「同じパスワードの使い回し」がなくなる見込みがない以上、固定パスワード認証を使い続けることは不正アクセスのリスクはなくならないからです。

多くのサービスが固定パスワード認証を続けざるを得ないとしても、GoogleやFacebook、Twitterといった大手のサービスや、金融機関や決済サービスでは、主にSMS認証と組み合わせた二段階認証にすることで、固定パスワードだけでの認証を避けるようになってきています。そんな中で「固定パスワードを使用しない」という動きもでてきました。


Yahoo! JAPANパスワード無効設定

https://id.yahoo.co.jp/security/inactive_pw.html
2018年5月、ヤフーは、「Yahoo! JAPAN ID」アカウントに設定しているパスワードを無効にする機能の提供をスタートさせました。
これはパスワードのかわりに、スマートフォンに送信した毎回違う確認コードを入力させることで認証を行う「SMS認証」だけでYahoo! JAPANにログインするようにする設定です。パスワードを使わないので、他のサービスでID/パスワード情報が漏洩してしまっても、Yahoo! JAPANに不正にログインされることはなくなります。

これにより「パスワードリスト攻撃」による不正アクセスを防止するのが最大の目的ですが、同時にパスワードを覚える必要をなくすことで、毎日約2万件もあるパスワード忘れによるパスワード再設定もなくしていくことにつながります。

ただし、「PCでのログインでもスマホを取り出す手間」、「メッセージが届くのを待つというわずらわしさ」、「SMSが届かないところではログインできない」というデメリットも発生します。

大手のヤフーが、固定パスワード認証からの脱却を開始したことで、他のネットサービス事業者にも波及するかもしれません。


Sign in with Apple

https://developer.apple.com/sign-in-with-apple/
Appleは、2019年6月3日に開催されたWWDC(世界開発者会議)において、Apple IDで他の連携アプリやネットサービスなどにログインできるシングルサインオン機能の提供を発表しました。2019年夏よりベータテストを開始するとのこと。

すでにIDフェデレーションによるソーシャルログインは、GoogleやFacebook、Yahoo! Japan、Twitter、LINEなどが提供しています。ログイン時に、これらのIDを代用してのログインできるサービスを見たことがある方も多いでしょうし、実際にそれでログインしている人も少なくはないと思います。
パスクリ通信でも過去に記事として取り上げてきました。

>ソーシャルログインって安全なの? 2016年10月14日号

>認証の新しい潮流「IDフェデレーション」2017年7月14日号

FacebookやGoogleなどでもユーザー情報の漏洩などのインシデントのニュースが流れたりして、不安に思っている人もいるかもしれません。それでも多くのサービスやアプリにユーザー登録をしていくことは、それだけ認証情報の漏洩元が増えるということなので、リスクが高まっていくものですし、サービス事業者にとっても、様々な脅威から認証情報を守る苦労を背負うよりも、ソーシャルログインを採用して情報管理するリスクや苦労から解放されたいという面もあります

今回発表があったSign with Appleは、導入したサービスやアプリのユーザー認証に、Face ID(顔認証)やTouch ID(指紋認証)などのApple製品の認証機能を利用できるようになるので、ユーザーにとってもサービス事業者にとっても固定パスワードの管理から解放され、固定パスワードによる不正アクセスの恐れがなくなることは大きな意味があります。

Apple IDの保有者=iPhoneやiPad、MacなどのTouch IDやFace IDの使える端末の所有者ということになるので、利用開始するとまずまずApple製品から離れられなくなるでしょう。
まだベータテスト前の段階ですが、このSign with Appleに注目しておきましょう。



今回はYahoo! JapanとAppleの例をご紹介しましたが、ポイントとなるのは、現在拡大している生体認証や、ワンタイムパスワードでもあるSMS認証、そして弊社のPassClipやPassLogicが提供する認証方式も、いずれも「固定パスワード認証からの脱却」を目指しているいうことです。

以前もパスクリ通信でご紹介しましたが、FIDOの動きも確実に活発化してきています。
>FIDOが作るオンライン生体認証の未来 2019年1月11日号

安全で簡単な認証に対する要求は、固定パスワードからの脱却とセットになって進められています。

あと何年後かに「そういえば昔、固定パスワード認証ってあったよね」という時代がやってくるのでしょうか?

・・・皆さんはどう思われますか?