パスワードレス認証が現実に
パスワードレス認証はついに時代を迎えた。パズルの最後のピースは、アップルで起きていることであり、iOS v14デバイスで動作するSafariに Web Authnプロトコルを追加するなど、様々なFIDO2標準をサポートしていることだ。これらのプロトコルは便利で、ウェブアプリケーションサーバーは、Apple Touch ID/Face ID、Android、Windows Helloなど、すでにデバイスに組み込まれている強力な認証機能と統合することができるからだ。つまり、これらのサーバーは、秘密鍵や共有秘密を直接受け取ることなく、ユーザーを認証することができる。日本最大のMNOの1つであるNTTドコモは、すでに実際のパスワードレス・アプリを導入している。
アップルが実装する以前は、AndroidやiOSデバイスのネイティブモバイルアプリケーション全体でFIDOがユビキタスにサポートされていたが、ブラウザアプリケーションではサポートされていなかった。マイクロソフト、グーグル、ファイヤーフォックス・モジラはブラウザのFIDOサポートを追加したが、サファリのサポートがないため、パスワードレスを実現するにはギャップがあった。多くの組織は、アップルがこの流れに乗るかどうかを待っていた。
なぜこのアップルの特別な実装が重要なのか?理由はいくつかある。第一に、生体認証はかつてないほど多くの人に使われ、多くの携帯電話に搭載されている。Duoは2019年の調査で、スマートフォンの77%がバイオメトリクスを設定していると報告している。次に、FIDO2以前は、デバイスのファームウェアと特定のソフトウェア、そしてこのタスクのために書かれたアプリを組み合わせる必要があった。現在では、どのような状況でも主要なブラウザで動作する標準ベースのアプローチがある。また、スマートフォン上のワンタイムパスワードアプリ(Authy、Lastpass、GoogleやMicrosoft Authenticatorなど)やHW OTP Tokensを捨てて、携帯電話そのものを認証デバイスとして使用できるようになりました。最後に、これによりFIDOパスワードレスログインが最も安全な認証メカニズムになり、また最も使いやすくなります。ユーザに対して、使いやすさとセキュリティのトレードオフを求める必要はもうありません。
確かに、CSOonlineの記事で紹介されているように、FIDOの取り組み以外でもパスワードレス・アプリケーションは存在している。しかし、これらには共通の欠点がある。ベンダー固有であること、認証サーバーと統合するために特別なコードが必要であること、既存の認証スマートフォンアプリを利用していること、グローバル企業で利用できる規模でテストされていないことなどだ。そういえば、FIDOの実装は今日、何百万人ものユーザーに利用されており、時間とフラストレーションの節約にもなっている。Intuitは、FIDO対応モバイルアプリが3つの大きなメリットをもたらすことを発見した:フィッシングの試みを減らし、ユーザーのログイン時間を20%短縮し、ログイン成功数を6%改善した。同社はウェブサイトのログインにFIDOを統合することに取り組んでいる。
パスワードが苦痛なのは間違いない。私たちは簡単に覚えるには多すぎるし、多要素ソリューションの数は、セキュリティ専門家が説明し、展開する必要があるユーザビリティの妥協を持っています。今こそFIDOを活用する時であり、アップルによるWebAuthnのサポートはタイムリーだ。これはモバイルeコマースにとって画期的な出来事であり、オンライン購入にスマートフォンを使用する大きな動機付けとなるだろう。iOS、Android、Windowsのブラウザを使えば、オンラインストアで購入するためにアプリをダウンロードする必要がなくなる。ログインも簡単で、セキュリティも以前より向上している。