PR
PR
パスワードレス認証とは
パスワードレス認証とは、文字のパスワードを入力せずに本人確認するログイン方式です。覚えにくい合言葉をなくし、使い回しや推測による漏えいを減らす狙いがあります。スマートフォンの生体認証やセキュリティキー、PCの内蔵機能など、手元のデバイスを前提に安全にアクセスできる点が特徴です。
代表的な仕組みがFIDO2です。初回登録では端末が公開鍵と秘密鍵のペア(パスキー)を作り、公開鍵だけをサービスに登録し、秘密鍵は端末内に保存します。ログイン時はサービスが一度きりの乱数(チャレンジ)を送り、利用者は顔や指紋で端末を解錠して秘密鍵で電子署名を返します。サービスは登録済みの公開鍵で署名を検証し、本人かどうかを確かめます。
生体情報や秘密鍵は端末の外に出ません。やり取りされるのは署名だけなので、フィッシングや総当たり攻撃に強く、パスワード管理も不要で利便性が上がります。主要なブラウザやOSが対応を進めており、パスワード中心の認証を置き換える基盤として、これからの安全なログインを支えます。
