パスワードのいらないログインは、セキュリティ研究者やプライヴァシー擁護派にとって、長らく「夢」であり続けてきた。ブラウザーでいつもパスワードを打ち間違えてしまうような、不器用な人たちにとっては言うまでもないだろう。
業界では、複数の文字からなるパスワードに頼らざるを得ない状況を終わりにするため、生体認証システムや、行動データを利用して個人を認証するシステムなど、さまざまなログイン方法が考案されてきた。だが、このようなシステムのほとんどが、“約束の地”に導くものにはまだなっていない。つまり、「パスワードの不要なウェブ」という約束の地のことである。
そんななか、安全な認証方法として注目されているのが、新しいウェブ標準「Web Authentication(WebAuthn)」だ。モジラ財団(Mozilla Foundation)で「Firefox」ブラウザーのエンジニアリング担当シニアディレクターを務めるセリーナ・デッケルマンによれば、WebAuthnは「現在あるウェブ向けの詐欺防止手段としては、おそらく最も効果的」だという。人気の高いブラウザーやウェブサイトでWebAuthnの仕組みが導入されれば、ユーザーは1つのデヴァイスまたは指紋を利用するだけで、ほとんどあらゆるサイトにログインできるようになる。
だが、パスワードをなくすことを目指したほかの取り組みと同じく、WebAuthnも多くの人々に利用してもらうには、いくつかのハードルを乗り越えなければならない。WebAuthnがあればパスワードのいらない未来が実現すると、すべてのセキュリティ専門家やID専門家が断言しているわけではないのだ。またWebAuthnの成功は、AmazonやFacebookといった、極めて人気の高いウェブサイトに導入されるかどうかに大きくかかっている。
新しい標準規格「WebAuthn」の利点
新たに登場したWebAuthnの標準規格は、ワールド・ワイド・ウェブ・コンソーシアム(W3C)とFIDOアライアンスが共同で策定した。FIDOはテック企業と金融会社がメンバーに名を連ね、オンラインIDの専門家が中心となって運営している業界団体だ(FIDOは「Fast Identity Online(すばやいオンラインID認証)」の略語)。
WebAuthnは、FIDOが以前に定めた「U2F」および「UAF」という2つの仕様が基になっている。ウェブサイトのなかには、いわゆる2要素認証でユーザーの本人確認を行う際に、U2FやUAFを利用しているところもある。
2要素認証では、アカウントにアクセスしようとするユーザーに対して、パスワード以外の本人確認情報も要求する。そのため、パスワードの入力だけを求める場合と比べて、本人確認を確実に行えるようになる。
たいていのウェブサイトでは、パスワードを使わない認証方法は、補助的なログイン方法として提供されている。しかし、ウェブブラウザーがそのようなログイン方式に標準対応すれば、WebAuthnがユーザー認証の主要な手段になる可能性がある。グーグルやモジラ、そしてマイクロソフトは、WebAuthnを採用することを公言している。
WebAuthnの仕様には専門用語が多く使われ、理解するのがやや難しい。だが、ごく簡単に言えば、ブラウザーやオンラインアカウントへのログインをいまより簡単で安全にしてくれるものだ。
ユーザーはログインするときに、新しいFIDOプロトコルをサポートする物理的なドングル(例えば、Yubicoが4月中旬に発表した価格20ドルの新しい「YubiKey」など)をコンピューターのUSBポートに差し込むか、指紋などの生体認証情報を使用する。初めてログインやユーザー登録を行う場合は、パスワードの入力を求められる可能性があるが、その後はワンステップでログインできるようになるはずだ。
マイクロソフトでOSセキュリティ担当プログラムマネージャーを務めるデイヴ・ボッシオによると、例えばノートパソコンでブラウザーからサイトにログインするときに、Windowsの生体認証機能「Windows Hello」を利用できるようになるという。Windows Helloは、パスコード、指紋センサー、顔認証カメラという3種類の認証方式に対応しているため、ユーザーにさまざまなオプションを提供できるだろう。
「ブラウザー(でのサポート)は2018年半ばから後半にかけて開始される予定です。そのときが、この機能を提供するひとつのタイミングとなります。バックエンドで『FIDO2』がサポートされれば、その後はアカウントをワンステップで認証できるようになるでしょう」とボッシオは語る。
「Touch ID」との類似点
パスワード保護製品を手がけるスタートアップPepperwordの創業者で最高経営責任者(CEO)の李志偉(リー・チーウェイ)は、この新しい標準仕様は一見するとアップルの「Touch ID」に似ているが、さらに一歩進んだものになると説明する。李は2013年にパスワード管理サーヴィス「LastPass」の脆弱性を公開して批判を受けたことがある人物だ。
李は、「Touch IDではデヴァイスにログインするときに、そのデヴァイスに登録した指紋を使います。一方、FIDO2では、スマートフォンに登録した指紋を使ってコンピューターにログインすることができます」と説明する。つまりFIDO2は、アップルが採用している独自の認証プロセスを、複数のデヴァイス間で利用できるようにするものだ。
ただし、これはアップル以外のデヴァイスが対象となる。「FIDO2は、この認証方法をエンドーツーエンドで標準化するものです」と李は語る(アップルはWebAuthnのサポートを表明していない大手ブラウザーメーカーのひとつだ)。
こうした認証方式が、単純なログイン方式よりはるかに優れている点は、フィッシング攻撃を回避できることにある。そもそもパスワードを入力しないため、それを盗まれることがない。
Ping Identityでシニアテクニカルアーキテクトを務めるサラ・スクワイアは、「標的にされやすいセレブや富裕層にとって、これはとても重要なことだと思います。彼らのアカウントを必死でハッキングしようとしている人たちがいるからです」と語る。こうしたハッキング攻撃の例として、スクワイアは14年に起きたセレブのヌード写真流出事件を挙げた。
「あの事件のあと、フィッシング攻撃に簡単にあわないようにするには、Yubikeyのようなキーがないとアカウントにログインできないようにする必要があるという考えが広まりました」
ただし物理的なドングルが必要
だが、この未来的なソリューションには、やや皮肉な面がある。それは、物理的なドングルを利用するという点だ。RSAセキュリティが製造しているような安全性の高いIDドングルは、すでに15年前から使われている。
それでもYubikeyを買ったほうがいいと言える理由は何だろうか。理由のひとつは実用的なことだ。新しいYubikeyでは、PINコードなどを入力する必要がなく、コンピューターにキーを差し込むだけでいい。
だが、もうひとつの理由はややわかりにくいかもしれない。見方によっては、メリットとは言えないからだ。それは、物理キーはなくしたり盗まれたりする可能性があるが、Yubikeyでは予備のキーを持ち歩くことができると点である。
ただしWebAuthnは、物理キーにまつわる手間やコスト以外のもっと大きな問題に直面するだろう。そうした問題が起こるのは、AmazonやFacebookといった人気サイトや、人々が日常的に利用するサイトがWebAuthnの導入を進めるときだと指摘するのは、W3CでWebAuthn作業部会のメンバーを務めるサミュエル・ワイラーだ。
「パスワードマネージャーが素晴らしいのは、片側だけで導入できるからです」とワイラーは述べる。「WebAuthn(を利用できるようにするに)は、ウェブサイト側で導入のための改変作業が必要になります」
当面はパスワードも併用?
Pepperwordの李も、アマゾンなどの企業がこの技術を導入するプロセスは「複雑」になる可能性があると指摘する。ブラウザー企業が早々にサポートを表明した一方で、ネット通販サイトやSNSサイトが何も表明していない理由はここにある。
モジラ財団のデッケルマンは、「パスワードのいらない快適な未来がすぐに実現することはないでしょう」と語る。「最初は2つ目の認証要素として使われるようになると思います。ウェブサイトにちょっとしたコードを追加すれば済むからです」
それでもWebAuthnが広く採用されれば、「ユーザー体験を大幅に向上させる」可能性があるとデッケルマンは話す。さらに、李をはじめとする多くの人たちが、WebAuthnは業界全体を正しい方向に導いているという考え方に同意している。
「パスワードは、1人のユーザーに破られるから問題なのではありません。わたしの考えでは、エコシステム全体が機能不全に陥っています」と李は言う。「その状況を修復しようしているのが、FIDOのような団体なのです」
TEXT BY LAUREN GOODE
TRANSLATION BY TAKU SATO/GALILEO