WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
2015年5月、GoogleはAndroidスマートフォンからパスワードをなくすという大胆なビジョンを打ち出しました。1年後、コードネーム「Abacus」のもと、2016年末までにAndroidアプリへのパスワードフリーログインを実現すると宣言しました。
3年経った今でも、このパスワードは依然として健在で、悪用されています。最も多く使われているパスワードは依然として123456で、他の分かりやすい組み合わせが僅差で続いています。しかし今、GoogleはAndroidとChromeを通じて、パスワードへの依存をある程度排除するための一歩を踏み出しました。
今週から、Androidスマートフォンのユーザーは、端末に保存されている指紋を使ってChromeでウェブサービスにログインできるようになります。パスワード不要の世界への小さな一歩です。2016年にリリースされたAndroid Nougat以降を搭載しているスマートフォンであれば、指紋を使ってウェブサービスにアクセスできます。
「新たなセキュリティ技術は、強度と利便性の両面でパスワードを超えている」と、グーグルのソフトウェアエンジニアであるドンジン・ハー氏とプロダクトマネージャーのクリスティアン・ブランド氏は、今回の変更を概説したブログ記事に記した。
しかし、大きな注意点が一つあります。現時点ではログインシステムは非常に制限されています。実際、パスワードなしでアクセスできるウェブサービスは、Google Chromeのパスワードマネージャーだけです。Android端末でGoogleのウェブブラウザからpasswords.google.comにアクセスし、以前に保存した情報をタップすると、スマートフォンに保存されている指紋認証を使ってデータにアクセスするように求められます。
この方法が機能するのは、FIDO2、W3C WebAuthn、そしてFIDO CTAPという3つのインターネット標準のおかげです。これら3つは、ユーザーのログインとパスワードに関して、Webサービスが目指すべき技術的手法を概説しています。最終的な目標は、ユーザーが信頼するデバイスと、指紋や顔データといった追加の認証情報を使用して、サービスにログインし、登録できるようにすることです。
FIDOアライアンス(同名の規格を策定)への加盟は、脆弱なユーザーパスワード対策へのテクノロジー業界の強い意欲を示しています。FIDOはFacebook、Intel、PayPal、Visa、Amazonなど多くの企業で構成されており、長年にわたりパスワードの代替に取り組んできました。しかし、その取り組みはようやく軌道に乗り始めたばかりです。
続きを読む: Googleのこの小さなセキュリティキーでハッキングを防げる
FIDO2規格は、公開鍵/秘密鍵暗号化を用いてログイン情報を保護するため、ユーザーパスワードよりも優れています。この規格は、秘密暗号化鍵をデバイス(例えばスマートフォンやセキュリティキーなど)に保存し、公開鍵はアカウントを所有する企業が保有するという仕組みです。ユーザーがアカウントにログインしようとすると、指紋などの生体認証情報を用いて秘密鍵のロックを解除し、公開鍵と照合することで情報にアクセスします。
2018年11月、MicrosoftはEdgeブラウザで生体認証ログインシステム「Windows Hello」をリリースしました。これにより、ユーザーはパスワードを入力することなくMicrosoftアカウントにサインインできるようになります。Microsoftアカウントには、Outlook、Office、Skypeが含まれます。
現時点では、GoogleによるAndroidとChromeの連携によるサービスへのログイン機能の拡張は非常に限定的です。サービスのパスワードマネージャーにアクセスする必要は(そもそも使うとしても)ほとんどありませんが、この前進はMicrosoftのような大規模な展開に先駆けています。
「これらの生体認証機能は、今回初めてウェブ上で利用可能となり、ネイティブアプリとウェブサービスの両方で同じ認証情報を使用できるようになりました」とヒー氏とブランド氏は述べた。しかし、この限定的な展開でさえも意義深い。なぜなら、Googleはマイクロソフトよりもはるかに優れたウェブパワーを持っているからだ。Androidは月間20億人以上のユーザーを抱え、Chromeはウェブ閲覧者の約70%に利用されている。
Googleは、パスワードレス機能を他のサービスにも容易に導入できるだろう。昨年の講演でブランド氏は、ウェブ標準を活用することで、ユーザーが毎回すべての情報を入力し直すことなく、簡単にサービスにログインできるようにするという大きなビジョンを描いていた。「ユーザーにとってより簡単なものにしたいのです」と彼は語った。
デモンストレーションでは、Google のサービスがどのようにその中心となるかを示した。ユーザーが Android スマートフォンで銀行口座にサインインすると、再度パスワードを入力することなく、Chrome 経由で指紋スキャナーを備えた MacBook で同じウェブサイトにアクセスできるようになる。
Gmailをはじめとする多数のサービスがAndroid端末でのパスワードなしログインをいつサポートするかはGoogleがまだ発表していないが、変化は間近に迫っている。「FIDO2規格への対応を進めていく中で、GoogleおよびGoogle Cloudサービスの認証手段として、パスワードに代わるローカル認証が受け入れられる場所が増えていくでしょう」と、同社のスタッフはブログ記事に記している。
この記事はWIRED UKで最初に公開されました。
