パスワードレス (Passwordless) とは?
一般的な言葉で言うと、「パスワードレス (Passwordless)」は「パスワードレス認証 (Passwordless Authentication)」の略です。
ユーザーが認証のために提供できる情報は主に3つのタイプに分類できます:
- ユーザーが知っているもの、例えばパスワード、パスワード回復の質問と回答(多くの場合、質問と回答は過去の個人的な経験に基づいています)。
- ユーザーが持っているもの、例えば携帯電話、 ワンタイムパスワード (One-time password, OTP) 、またはハードウェアトークン。
- ユーザーが何であるか、例えば指紋、顔認識、その他の生体認証識別子。
パスワードレス認証 (Passwordless Authentication) は、ユーザーがパスワードやその他の知識ベースの秘密を入力せずにコンピュータシステムにサインインできる認証方法です。最も一般的な実装では、ユーザーはユーザー識別子(ユーザー名、メールアドレス、電話番号など)を入力し、その後、他の手段で安全な身元確認を行うことで認証プロセスを完了します。
なぜパスワードレス認証 (Passwordless Authentication) を使用するのか?
パスワードの使用は徐々に減少していますが、依然として世界中で広く使用されています。主な理由は、パスワードベースのシステムが最も簡単で安価に実装できるからです。
さらに、パスワードはデータ漏洩の主な原因です。覚えやすくするために、多くの人は誕生日や数字のみのパスワードに数字パッドからの文字の組み合わせを使用するなど、固定パターンを使用します。これにより、パスワードを解読することがはるかに容易になります。実際、多くの人が無意識のうちに複数のプラットフォームで同じパスワードを使用しており、パスワードの漏洩リスクをさらに高めています。
最後に、パスワードはユーザーにとって面倒です:覚えにくく、管理が煩雑です。すべてのシナリオで統一されたパスワードを使用しないようにするために、ユーザーはさまざまなパスワードを記録するための専用ツールが必要です。さらに、パスワードは異なる場所で使用されるため、常に確認する必要があるかもしれません。これはパスワードの使用に大きな不便をもたらします。
一方、バイオメトリクスや OTP などのパスワードレス技術は非常に便利でユーザーフレンドリーです。理想的には、ユーザーはいつでもどこでもバイオメトリクスで即座に認証できるはずです。携帯電話が不可欠な今日の世界では、「ユーザーが持っているもの」に関連するすべての検証は通常、電話を通じて行うことができます。
パスワードレス認証 (Passwordless Authentication) と多要素認証 (MFA) の違いは何ですか?
パスワードレス認証 (Passwordless Authentication) と マルチファクター認証 (Multi-factor authentication, MFA) は、時々似た文脈で言及されます。したがって、これら2つの用語を別々に定義し、それらの違いを理解する必要があります:
- パスワードレス認証 (Passwordless Authentication) は、パスワードベースの認証を他の要素で置き換えます。
- MFA は、ユーザーの身元を確認するために2つ以上の認証要素を使用することを指します。
「要素」は、以前に述べた3つの異なるタイプの認証情報です。例えば、ユーザーが認証時にメールアドレス + OTP のみを使用する場合、これは「ユーザーが持っているもの」に関連する要素であり、ユーザーの認証はパスワードレスと見なすことができます。
一般的な MFA の実装には、パスワードを強化するために2番目の(パスワードレス)認証要素を使用することが含まれますが、MFA は完全にパスワードレスであることもあります。例えば、アプリケーションは最初の認証要素として指紋を使用し、2番目の認証要素としてメールアドレス + OTP を使用することができます。
パスワードレス (Passwordless) と SSO の違いは何ですか?
パスワードレス (Passwordless) の前述の定義に基づくと、 シングルサインオン (Single sign-on, SSO) はパスワードレスの一種です(ユーザーは SSO プロバイダーのアカウントを持っている)。
さらに、SSO プロバイダーのアカウントは一般的に高いセキュリティを持っています。ユーザー名とパスワードに加えて、ほとんどの場合、ユーザーがアカウントを完全に管理できるようにするために必須の MFA が必要です。MFA はしばしばパスワードレス要素の検証を含みますが、これにはパスキー、OTP、指紋などが含まれますが、これらに限定されません。