パスワードレス認証は、パスワードを入力することなくアカウントにログインする方法です。生体認証、ワンタイムコード、物理的な鍵、認証アプリなど、パスワードの代替手段を用います。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
パスワードレス認証とは、パスワードを入力せずにアカウントにログインする方法です。覚えにくかったり盗難されやすいパスワードの代わりに、次のような代替手段を検討できます。
本人認証システムは、ユーザーにアクセスを許可する前に特性を検証してユーザーが本人であることを確認します。この特性は、「認証要素」とも呼ばれ、知識(ユーザーが知っていること)、所有情報(ユーザーが持っているもの)、本人の特徴(ユーザー自身)などが該当します。パスワードレス認証では、生体認証(ユーザー自身)またはハードウェアキー(ユーザーが持っているもの)といった3つの認証要素のうちの1つまたは2つを使用します。
以下、この仕組みの例を挙げます。
パスワードレス認証の利点として、フィッシングのリスクの減少、ユーザーエクスペリエンスの向上、企業にとってのコストの削減などが挙げられます。
パスワードレス認証には利点がありますが、それでもいくつかの課題が伴います。 たとえば、ユーザーは多くの場合、複数のデバイス上のクラウドアプリケーションに日常的サインインしますが、パスワードレス認証だとこれが困難になる可能性があります。さまざまな認証方法を既存のシステムに統合することで、互換性の問題が発生する可能性があります。また、すべてのアプリがパスワード以外のサインインに対応しているわけではありません。学習曲線を経て慣れたり、新しいサインオン方法に適応しなければならないため、ユーザー自身による適応が別のハードルになる可能性があります。 パスワードレス認証はまた、デバイスの紛失や盗難による機密性の高い生体認証情報の損失など、リスクをもたらす可能性があります。紛失したトークンの再発行には困難が伴ったりコストがかかる可能性があり、セキュリティ上の懸念すべてに対応できるわけではありません。さらに、攻撃者がソーシャルエンジニアリング、オンパス攻撃、さらには物理的なデバイスの盗難などの他の方法に移行する可能性があります。パスワードレス認証の実装には、初期費用および継続的なメンテナンスコストも発生する可能性があります。
Cloudflare Oneプラットフォームは、ワンタイムPINログイン、SSO統合、認証Cookieを統合することにより、パスワードレス認証を含む統合セキュリティ機能を備えています。Cloudflareでは、すべてのHTTPリクエストをチェックして、リクエストに有効なCF認証Cookieがあることを確認しています。Cloudflare Oneの詳細は、こちらをご覧ください。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集