Logo Logo
GitHub Designed by Logto

パスワードレス認証とは?

パスワードレス認証は、ユーザーがパスワードやその他の知識ベースの秘密を入力(または記憶)せずにコンピュータシステムにサインインできる認証方法です。

例えば、スマートフォンを指紋や顔認証でロック解除する場合や、メールアカウントにログインするために SMS でワンタイムコードを受け取る場合など、これらはすべて日常生活で使用される一般的なパスワードレス認証方法です。

パスワードレス認証の種類は?

日常生活で遭遇する一般的なパスワードレス認証の種類はいくつかあります:

生体認証

生体認証は、指紋スキャン、顔認識、虹彩スキャンを通じて、私たちのユニークな身体的特徴を利用して身元を確認します。日常の状況でこれらに遭遇します:

  • コーヒーを買うときに Face ID で iPhone をロック解除
  • 銀行アプリに指紋でログイン
  • 虹彩スキャナーを使用して安全な施設にアクセス

マジックリンク

マジックリンクは、メールで配信される特別なワンタイム使用リンクで、シームレスな認証体験を提供します。多くの人気サービスで見かけます:

  • メールで Slack からの「サインイン」リンクをクリック
  • Medium の「メールでサインイン」オプションでログインリンクを送信
  • Notion のメールベースの認証システム

詳細は マジックリンク を参照してください。

ワンタイムコード (OTP)

ワンタイムコードは、通常 SMS やメールで配信される、最も広く普及しているパスワードレス方法の一つです:

  • Google アカウントにログインするための 6 桁のコードを受け取る
  • オンラインバンキング取引のための確認コードを取得
  • Google Authenticator のような認証アプリを使用

詳細は ワンタイムパスワード (One-time password, OTP) を参照してください。

パスキー

パスキーは、FIDO ベースの安全な代替手段で、フィッシング攻撃からアカウントを保護するために高度な暗号技術を使用します。以下はその仕組みです:

  • サービスごとにユニーク: サービスに登録すると、デバイスがその特定のサービスのドメインにリンクされたユニークなパスキーを作成します
  • デバイスベース: パスキーは通常、デバイスに組み込まれたハードウェアセキュリティモジュールまたは別のセキュリティキーに保存されます
  • 公開鍵と秘密鍵のペア: デバイスは秘密鍵を安全に保存し、公開鍵をサービスと共有します。これらの暗号鍵ペアがパスキーと呼ばれます
  • ハードウェアセキュリティ: 多くのパスキーは専用のハードウェアセキュリティモジュールで保護されており、非常に侵害されにくいです
  • デバイス間同期: パスキーはクラウドストレージ(例:Apple の iCloud キーチェーンや Google パスワードマネージャー)を使用して安全にデバイス間で同期できます

一般的な使用シナリオ:

  • USB セキュリティキーを使用して仕事用のラップトップにアクセス
  • Google アカウントにログインするために電話を(セキュリティキーとして)タップ
  • 高度に安全なシステムにアクセスするためにハードウェアセキュリティキーを接続

詳細は パスキー (Passkey) を参照してください。

なぜパスワードレス認証を使用するのか?

何十年もの間、パスワードは認証のデフォルトの方法でした。今日でも、ほとんどのオンラインアカウントはパスワードに依存しています。しかし、この伝統的なアプローチは増大する課題に直面しており、なぜパスワードレス認証を使用すべきなのかを問いかけています。

パスワードは十分に安全ではない

企業がデータ侵害を受けると、数百万のパスワードが一度に漏洩する可能性があります。攻撃者はこれらのパスワードを自動化ツールで簡単に悪用できます。特に多くのユーザーが異なるサービスでパスワードを再利用している場合です。例えば、攻撃者がゲームサイトからユーザーのパスワードを入手した場合、同じ資格情報を使用してその人のメールや銀行口座にアクセスできるかもしれません。

このブログをチェックして、 パスワードがどのようにクラックされるか を学びましょう。

パスワードは使いにくく管理が難しい

オンラインアカウントを管理することを考えてみてください:異なるウェブサイトやサービスにわたって数十のアカウントがあり、それぞれに独自のパスワード要件があります。たとえ一貫したパスワードを使用しようとしても、異なるパスワードポリシーが特殊文字や数字を追加することを強制し、他のバリエーションを作成します。あるウェブサイトは少なくとも1つの特殊文字を要求し、別のウェブサイトは特定の記号を許可せず、3番目のウェブサイトは最低12文字を要求します。

ログインしようとすると、この特定のサイトでどのバリエーションを使用したかを思い出せません。最後に感嘆符を付けたものだったか、それとも「@」記号を付けたものだったか?いくつかの失敗した試行の後、アカウントがロックされ、さらに時間のかかるパスワードリセットプロセスを経る必要があります。

この苛立たしいシナリオは、毎日何百万回も組織全体で繰り返され、パスワードリセットの頻発、時間の浪費、生産性の低下を引き起こします。

パスワードレス認証はパスワードよりも安全

代わりに指紋や顔認証を使用してすべての仕事用アプリケーションにアクセスすることを想像してみてください。これらの生体認証要素はパスワードのように盗まれたり推測されたりすることができないため、攻撃者が会社のデータベースに侵入しても、この情報を使用してユーザーになりすますことはできません。さらに、セキュリティキーのようなパスワードレスの方法は、ユーザーとウェブサイトの両方の信頼性を確認するため、フィッシング攻撃からの保護を提供します。

パスワードレス認証はユーザーフレンドリー

パスワードレス認証を使用すると、アカウントへのアクセスがスマートフォンのロックを解除するのと同じくらい簡単になります。

例えば、ログイン試行を承認するためのプッシュ通知を電話で受け取ったとき、デバイスを一目見るだけで認証できます。このシームレスな体験は、複数のパスワードを記憶するという認知的負担を排除しながら、高いセキュリティ基準を維持します。

パスワードレス認証はどのように機能するのか?

認証は一般的に3種類の要素に依存します:

  • ユーザーが知っているもの:パスワードや PIN のようなもの
  • ユーザーが持っているもの:物理デバイスやトークンのようなもの
  • ユーザーそのもの:生体的特徴のようなもの。

パスワードレス認証は、伝統的な「知っているもの」アプローチから離れ、他の2つの要素に焦点を当てます。

「持っているもの」を使用する場合、認証プロセスは通常、メールアドレスや電話番号から始まります。銀行口座にログインしていると想像してみてください - パスワードを入力する代わりに、SMS やメールでワンタイムコードを受け取るかもしれません。または、これらのコードを自動的に生成する認証アプリを電話に設定しているかもしれません。一部のサービスは、電話にプッシュ通知を送信し、「承認」をタップするだけでログインできるようにします。より高いセキュリティが必要な場合は、デジタルキーを挿入するようにデバイスに接続する物理的なセキュリティキーを使用するかもしれません。

「ユーザーそのもの」アプローチはさらに簡単で、おそらくすでに馴染みがあるでしょう。スマートフォンを指紋や顔認証でロック解除する際に、生体認証を使用しています。一部のシステムは音声認識も使用し、特定のフレーズを話すことで身元を確認できます。これらの生体認証要素はあなたに固有のものであり、デバイス上で安全に処理されます。

パスワードレス認証と多要素認証 (MFA) の違いは?

パスワードレス認証と マルチファクター認証 (Multi-factor authentication, MFA) は、時々似た文脈で言及されます。したがって、これらの2つの用語を別々に定義し、それらの違いを理解することが必要です:

  • パスワードレス認証は、パスワードベースの認証を他の要素に置き換えます。
  • MFA は、ユーザーの身元を確認するために2つ以上の認証要素を使用することを指します。

「要素」は、前述の3種類の認証情報を指します。例えば、ユーザーが認証時にメールアドレス + OTP のみを使用する場合、これは「ユーザーが持っているもの」に関連する要素であり、ユーザーの認証はパスワードレスと見なすことができます。

一般的な MFA の実装には、パスワードを強化するために2番目の(パスワードレス)認証要素を使用することが含まれますが、MFA は完全にパスワードレスであることもできます。例えば、アプリケーションは最初の認証要素として指紋を使用し、2番目の認証要素としてメールアドレス + OTP を使用することができます。

パスワードレスと SSO の違いは?

シングルサインオン (Single sign-on, SSO) (SSO) とパスワードレス認証は、アイデンティティ管理における2つの異なる概念です:

  • SSO はユーザー認証を集中化し、ユーザーが単一のログインで複数のアプリケーションにアクセスできるようにすることです
  • パスワードレス認証は、ユーザーがパスワードを使用せずに身元を証明する方法に焦点を当てています

それらは異なる目的を果たしますが、一緒に機能することができます。

例えば、SSO システムは認証にパスワードレスの方法(生体認証やセキュリティキーなど)を使用することができます。この組み合わせは、シングルサインオンの利便性とパスワードレス認証のセキュリティ上の利点の両方を提供します。

関連項目