パスワードは厄介なものです。データのセキュリティにとって非常に重要であるにもかかわらず、覚えやすく、管理も大変です。さらに、新たなハッキングやセキュリティ侵害が発生するたびに、パスワードを頻繁に変更しなければならないこともあります。しかし、パスワードの時代は終わりに近づいているかもしれません。Microsoft、Google、VISA、MasterCard、PayPalなどの大手企業で構成される非営利団体FIDOアライアンスが、パスワードを不要にするシステムの最終仕様を公開しました。願わくば、永久にパスワードを不要にすることを願っています。
仕様は少し技術的ですが、要するにパスワードの数が少なくなるということです。FIDO には、パスワードなしのログイン方法と 2 要素ログイン方法の 2 つのオプションがあります。前者の場合、FIDO のテクノロジを使用する新しいサービス、アプリ、またはサイトに登録するときに、そのアカウントを認証する方法を選択します (現在ユーザー名とパスワードを指定するのと同じように)。ただし、その方法はパスワードの代わりに PIN または生体認証要素 (指紋、音声パスフレーズ、顔認識など) にすることができます。さらに安全な 2 要素認証では、やはりパスワードに依存しますが、身元を証明するために USB キーなど別のものも必要になります。どちらの場合も、認証情報はサーバーではなくデバイス上に保存され、暗号化されるため、ハッカーによる侵入が難しくなります。
AppleのiPhone 6やSamsung Galaxy S5といったスマートフォンはすでに指紋認証を搭載しているので、一体何がすごいのかと疑問に思うかもしれません。しかし、これらの技術とは異なり、FIDOは消費者向けのソリューションではありません。アプリやウェブサイトに無料で組み込めるソフトウェアシステムであり、様々なハードウェアで動作します。モバイルデバイスでは内蔵の指紋スキャナーが利用されるかもしれませんが、ノートパソコンやデスクトップパソコンではUSBメモリの方が適しているかもしれません。
PayPalはすでにAndroidアプリにFIDOサポートを追加し、Samsung Galaxy S5の指紋センサーでの利用を可能にしています。また、Googleはデスクトップパソコンとノートパソコンの2段階認証プロセスにFIDO対応USBキーの使用を許可しています。Nok Nok Labsも、アプリ開発者がAndroidまたはiOSでまもなく利用できるソリューションを開発しました。つまり、既に利用しているサービス、アプリ、ウェブサイトはすべて、必要に応じてFIDO認証のサポートを組み込むことができるようになります。
とはいえ、潜在的な制約もいくつかあります。標準規格は数多く存在し、FIDOには主要企業が関与しているにもかかわらず、Appleなど、名前が挙がっていない企業も存在します。中でもAppleは最も有力な存在です。これはFIDOを完全に否定するほどのものではありませんが、Appleの絶大な影響力を考えると、FIDOの普及を遅らせる可能性があります。(例えば、Apple PayはAppleデバイスでのみ利用可能ですが、この技術自体は何年も前から存在しているにもかかわらず、最近導入されたことでワイヤレス決済が急増しました。)また、FIDOはシステムを可能な限り魅力的なものにしようと努力していますが、認証インフラの再構築に抵抗する企業も出てくることは間違いありません。
しかし、一つ確かなことは、セキュリティ上の欠陥が猛烈な勢いで発生している今、もはやパスワードに頼って身を守ることはできないということです。FIDOは本当にパスワード終焉の兆しなのでしょうか?そう願っていますが、グリマスのようにパスワードを破壊できるものが存在するとは思えません。
