現在、さまざまなウェブサービスで必須な情報として入力を求められるのがメールアドレスとパスワードだろう。本人確認のためにやむを得ないとはいえ、毎回入力するのが煩わしかったり、パスワードを忘れて再発行する羽目になったりしているが、アップルがパスワードの代わりにFace IDやTouch IDを使ってアカウント認証ができるようになる新しいパスキー機能を開発していることが判明した。
新しいオンライン認証技術・WebAuthnにもとづく安全性の高さがウリ
(Image:Hadrian / Shutterstock.com) 指紋認証を行うことで本人確認を行い、デバイス上にある秘密鍵による署名ができ、ログインできるようになる。これならパスワードの入力も管理も必要ない
現在のパスワード認証方式は、覚えやすさを優先して「123456」などの推測されやすいパスワードを使ったり、パスワードの使いまわしをしたりなどの問題が起こりえる。かといって、これだけ多くのウェブサービスを利用するようになると、複数のパスワードを管理するのもはっきり言ってめんどくさい。しかし、データ漏洩のうち81%は推測しやすいパスワードの使用やパスワードが盗まれたことが原因とも言われており、セキュリティの脆弱性が指摘されていた。
そこで、新しいオンライン認証技術の標準化を目指す非営利団体であるFIDO AllianceとW3Cは、「WebAuthn(ウェブオースン)」という新たなオンライン認証技術の標準化を推進。これはパスワード以外の方法でユーザー認証を行う仕様のことで、指紋認証や顔認証などの生体認証や「Yubikey」などのセキュリティデバイスを使ってサービスにログインできる。
パスキーはこのWebAuthnに基づいた秘密鍵と公開鍵のペアのこと。認証の仕組みは、iPhoneやiPad、Macはアカウントの作成時に公開鍵と秘密鍵のペアを生成し、公開鍵をサーバーに送信。秘密鍵はユーザーのデバイス上で保存されており、指紋認証などで本人確認を行うと、秘密鍵でサーバーへ署名して返送することでログインが可能となり、サービスの利用ができるというわけだ。
この世に絶対安全はありえないが、今ある脅威を避けられるという点でパスキー機能の搭載は歓迎だ
パスキー機能開発のニュースは、アップルのエンジニアであるギャレット・デビッドソン氏がWWDC 2021の開発者セッションで明らかにした。アップルはiOS 15とmacOS Montereyに、iCloudキーチェーンで管理されるパスキー機能を搭載することを予定しているそう。
Face IDやTouch IDを使ってログインすること自体は現在でも可能だが、初回はIDとパスワードをブラウザに入力する必要がある。仕組みとしては、このIDとパスワードをiCloudキーチェーンに保存し、2回目以降はFace IDやTouch IDを使って呼び出しているだけで、そもそも脆弱性があるパスワード入力を行っていることには変わりない。そのため、WebAuthnに対応したパスキーの方が安全性は上だと言えるだろう。
2018年にWebAuthnがウェブ標準の勧告候補となってから早3年。パスキー機能がようやく広がりを見せるが、完全なセキュリティなどはこの世に存在しない。WebAuthnが普及すればまた新たな問題やリスクが発生するだろうが、まずは多くのユーザーにとって利便性と安全性が向上するパスキー機能の普及を歓迎したい。
参考元:Appleがパスワード不要でFace IDやTouch IDだけでウェブサービスにログインできる「パスキー」機能を開発中【GIGAZINE】
