パスワードレス認証とは

パスワードレス認証は、パスワードを入力することなくアカウントにログインする方法です。生体認証、ワンタイムコード、物理的な鍵、認証アプリなど、パスワードの代替手段を用います。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • パスワードレス認証を理解する
  • 認証のメカニズムとさまざまな種類の認証を知る
  • パスワードレス認証の利点と欠点を評価する

記事のリンクをコピーする

パスワードレス認証とは

パスワードレス認証とは、パスワードを入力せずにアカウントにログインする方法です。覚えにくかったり盗難されやすいパスワードの代わりに、次のような代替手段を検討できます。

  • たとえばAppleの顔認証など、指紋認証や顔認証などの生体認証。
  • ワンタイムコードまたはマジックリンクは、ユーザーの電話またはメールに直接送信されるコードまたはリンク。
  • ワンタイムコードを生成するGoogle AuthenticatorやMicrosoft Authenticatorなどの認証アプリ。
  • コンピュータに接続、もしくは携帯電話でタップするだけで使えるYubiKeyなどの物理的なトークン

パスワードレス認証の仕組み

本人認証システムは、ユーザーにアクセスを許可する前に特性を検証してユーザーが本人であることを確認します。この特性は、「認証要素」とも呼ばれ、知識(ユーザーが知っていること)、所有情報(ユーザーが持っているもの)、本人の特徴(ユーザー自身)などが該当します。パスワードレス認証では、生体認証(ユーザー自身)またはハードウェアキー(ユーザーが持っているもの)といった3つの認証要素のうちの1つまたは2つを使用します。

以下、この仕組みの例を挙げます。

  1. まず、ユーザーにより指紋の登録、メールへのリンクによるMagic Linkの登録、パソコンまたはスマートフォンの物理的なキーの接続など、パスワードレスのログイン方法を設定します。
  2. 続いて、ユーザーがログインします。この手順は、使用される認証方式によって方法が異なってきます。例えば、生体認証の場合、通常、指紋、顔、または音声を用いてログインします。システムにより、登録済みのものと一致するかが確認されます。一方、ハードウェアトークンまたは物理キーでは、ユーザーがプラグインするか物理キーをタップして本人であることを証明してログインします。その後、キーは本人情報を認証するための一意のコードを生成します。
  3. ログイン時に、システムがファイル上のものと一致するために使用された方法(指紋、ユーザーのアプリからのコードなど)をチェックし、一致する場合、ユーザーにデバイスまたはアカウントへのアクセスが許可されます。
  4. パスワードレス認証は、セキュリティを強化するため、指紋の使用に加えてユーザーの携帯電話にコードを送信するなどの他の方法と組み合わせられることもあります。これにより、さらに別の保護レイヤーを加えることができます。

パスワードレス認証の利点とは

パスワードレス認証の利点として、フィッシングのリスクの減少、ユーザーエクスペリエンスの向上、企業にとってのコストの削減などが挙げられます。

  • セキュリティの強化:パスワードレス認証は、フィッシング、ハッキング、資格情報窃盗のリスクを低減します。データ漏洩や流出によりパスワードが知られることがなければ、ユーザーを騙すことで資格情報を盗み出せる可能性は低くなります。
  • ユーザーエクスペリエンスの向上:指紋、顔認証、クリックのいずれかでログインでき、複雑なパスワードを記憶するよりもはるかに簡単かつ速やかにログインできます。
  • 企業にとってのコストの削減:パスワードレス認証を使用することで、パスワード管理に関連するITサポートおよび保守コストを削減でき、ユーザーがアクセスを失ったときのアカウント回復プロセスを合理化することができます。

パスワードレス認証の課題

パスワードレス認証には利点がありますが、それでもいくつかの課題が伴います。 たとえば、ユーザーは多くの場合、複数のデバイス上のクラウドアプリケーションに日常的サインインしますが、パスワードレス認証だとこれが困難になる可能性があります。さまざまな認証方法を既存のシステムに統合することで、互換性の問題が発生する可能性があります。また、すべてのアプリがパスワード以外のサインインに対応しているわけではありません。学習曲線を経て慣れたり、新しいサインオン方法に適応しなければならないため、ユーザー自身による適応が別のハードルになる可能性があります。 パスワードレス認証はまた、デバイスの紛失や盗難による機密性の高い生体認証情報の損失など、リスクをもたらす可能性があります。紛失したトークンの再発行には困難が伴ったりコストがかかる可能性があり、セキュリティ上の懸念すべてに対応できるわけではありません。さらに、攻撃者がソーシャルエンジニアリング、オンパス攻撃、さらには物理的なデバイスの盗難などの他の方法に移行する可能性があります。パスワードレス認証の実装には、初期費用および継続的なメンテナンスコストも発生する可能性があります。

Cloudflareによるパスワードレス認証の実装方法

Cloudflare Oneプラットフォームは、ワンタイムPINログイン、SSO統合、認証Cookieを統合することにより、パスワードレス認証を含む統合セキュリティ機能を備えています。Cloudflareでは、すべてのHTTPリクエストをチェックして、リクエストに有効なCF認証Cookieがあることを確認しています。Cloudflare Oneの詳細は、こちらをご覧ください。