パスワードレス (Passwordless) とは?
一般的に「パスワードレス」は「パスワードレス認証 (Authentication)」の略です。
ユーザーが認証のために提供できる情報は主に次の3タイプに分類されます:
- ユーザーが知っていること、例えばパスワード、パスワードリカバリーの質問と回答(多くの場合、質問と回答は個人の過去の経験に基づいています)。
- ユーザーが持っているもの、例えば携帯電話、ワンタイムパスワード (OTP)、またはハードウェアトークン。
- ユーザーが何者であるか、例えば指紋、顔認識、およびその他の生体識別子。
パスワードレス認証 (Authentication) は、ユーザーがパスワードや他の知識に基づく秘密を入力(または記憶)せずにコンピュータシステムにサインインできる認証方法です。最も一般的な実装では、ユーザーはユーザー識別子(ユーザー名、メールアドレス、電話番号など)を入力し、その後、他の手段で安全な本人証明を提供して認証プロセスを完了する必要があります。
なぜパスワードレス認証 (Authentication) を使用するのか?
パスワードの使用は徐々に減少していますが、依然として世界中で広く使用されています。主な理由は、パスワードベースのシステムが最も簡単で安価に実装できるからです。
さらに、パスワードはデータ漏洩の主な原因です。記憶を容易にするために、多くの人がパスワードに固定のパターンを使用します。例えば、誕生日を使ったり、番号パッドからの文字の組み合わせを使用したりします。このため、パスワードの解読が容易になります。実際、多くの人は知らずに複数のプラットフォームで同じパスワードを使用しており、これによりパスワードの妥協リスクがさらに高まります。
最後に、パスワードはユーザーにとって面倒です:記憶が困難で管理が面倒です。すべてのシナリオで統一されたパスワードの使用を避けるために、ユーザーはさまざまなパスワードを記録するための専門のツールを必要とします。加えて、パスワードは異なる場所で使用されるため、常に調べる必要があるかもしれません。これはパスワード使用に対して重大な不便をもたらします。
一方で、生体認証や OTP のようなパスワードレス技術は非常に便利でユーザーフレンドリーです。理想的には、ユーザーはいつでもどこでも即座に生体認証で認証できます。携帯電話が欠かせない今日の世界では、「ユーザーが持っているもの」に関連したすべての検証は通常電話を通じて行うことができます。
パスワードレス認証 (Authentication) と多要素認証 (MFA) の違いは何ですか?
パスワードレス認証 (Authentication) と多要素認証 (MFA) は、時々似た文脈で言及されます。したがって、これら二つの用語を別々に定義し、その違いを理解することが必要です:
- パスワードレス認証は、パスワードベースの認証の代わりに他の要素を使用します。
- MFA とは、ユーザーの身元を確認するために 2 つ以上の認証要素を使用することを指します。
「要素」は先述の異なるタイプの承認情報の3つです。例えば、ユーザーが認証中にメールアドレス + OTP のみを使用する場合、これは「ユーザーが持っているもの」に関連する要素であり、そのユーザーの認証をパスワードレスと見なすことができます。
一般的な MFA の実装には、パスワードを強化するために2番目の(パスワードレス)認証要素を使用することが含まれますが、MFA は完全にパスワードレスになることもできます。例えば、あるアプリケーションが最初の認証要素として指紋を使用し、2 番目の認証要素としてメールアドレス + OTP を使用することができます。
パスワードレスと SSO の違いは何ですか?
前述のパスワードレスの定義に基づくと、SSO は 1 つのタイプのパスワードレスメソッドです(ユーザーは SSO プロバイダのアカウントを持っています)。
さらに、SSO プロバイダのアカウントは一般的に高いセキュリティがあります。ユーザー名とパスワードの他に、ほとんどの場合、ユーザーがアカウントを完全に管理できることを保証するために、必須の MFA を要求されます。MFA には通常、パスワードレスの要素による検証が含まれますが、これに限定されません。例えば、パスキー、OTP、指紋などです。