パスワードのない世界は、ユーザーをAppleやAndroidにさらに閉じ込める可能性がある。

パスワードのない世界は、ユーザーをAppleやAndroidにさらに閉じ込める可能性がある。
パスワードのない世界は、ユーザーをAppleやAndroidにさらに閉じ込める可能性がある。
パスワードのない世界 | ピントが合っていない色付きの背景に映るiPhone 13

パスワードのない世界が来るのが待ち遠しいですが、パスワードの必要性をなくすために設計されたFIDO規格には問題が提起されています。それは、パスワードを廃止すると、エコシステム間の切り替えが難しくなる可能性があるということです。

Apple デバイス用にパスキーを設定している場合、標準ではそれを Android デバイスに転送することを許可するものはなく、その逆も同様です…

パスワードのない世界を実現することが、FIDO アライアンス (Fast IDentity Online) の使命です。

現在、ウェブサイトやアプリにログインするには、ユーザー名とパスワードを入力するのが一般的です。パスワードはセキュリティ対策として非常にまずいと長年主張されてきましたが、利用するサービスが増えるごとにその傾向はさらに強まっています。二要素認証の粗雑な形であるセキュリティ質問は、さらに厄介な問題です。

FIDOは、デバイスがユーザーを認証できるようにします。そのロジックは次のとおりです(Face ID搭載のiPhoneを例に挙げます)。

  • ウェブサイトまたはアプリでは、ユーザーの身元を識別し、身元を証明するよう求められます。
  • iPhone はそのリクエストを受信し、Face ID を起動します。
  • 顔が一致した場合、iPhone はウェブサイトにあなたが誰であるかを伝え、
    あなたの身元を確認したことを伝えます。

パスワードは一切必要ありません。認証はウェブサイトのサーバーではなく、デバイス上で行われます。ウェブサーバーは、Apple Payでの決済端末がスマートフォンを認証するのと全く同じように、iPhoneを認証に信頼します。

Appleは標準をサポート

これが Apple デバイスでどのように機能するかを示す例を初めて目にしたのは 2019 年のことでした。Apple は翌年、FIDO 標準をサポートすることを正式に確認しました。

Amazon、Arm、Facebook、Google、Intel、Microsoft、Samsungといった他の大手テクノロジー企業もFIDOをサポートしています。また、金融サービス企業でさえこのアプローチのセキュリティに満足していることを示す例として、FIDOの理事会メンバーにはAmerican Express、ING、Mastercard、Paypal、Visa、Wells Fargoが含まれています。

提案されている規格のアップデートにより、Appleデバイス同士がBluetooth経由で認証できるようになるため、さらに便利になります。つまり、iPhoneでFIDOを使ってウェブサイトにログインしたことがある場合、Bluetoothの範囲内にあるMacでもログインできるようになります。Appleはこの機能の実装を「iCloudキーチェーンのパスキー」と呼んでいます。これは現時点では提案に過ぎませんが、Apple、Google、Microsoftの3社がサポートする予定です。

ロックイン問題

しかし、Fast Companyの報道によると、現時点ではエコシステム間の切り替えを可能にする規格は存在しません。パスキーはデバイスに保存され(クラウドにも保存されます。この機能が実現すればクラウドにも保存されます)、iPhoneからAndroidスマートフォンへ、あるいはその逆へ切り替えたい場合には問題となります。

FIDOの現在の提案には、エコシステム間でパスキーを一括転送する仕組みがありません。AndroidスマートフォンからiPhoneへ、あるいはその逆へ切り替える場合、すべてのパスキーを簡単に移行することはできません。

「今のところ、バッチエクスポートの方法は特にありません」と、FIDOアライアンスのエグゼクティブディレクター、アンドリュー・シキアー氏は語る。「おそらく将来的には対応していくことになるでしょう。」

対照的に、パスワードは実体を持つため、転送が比較的容易です。主要なウェブブラウザは、数回クリックするだけで他のブラウザからパスワードをインポートできます。また、ほとんどのパスワードマネージャーはユーザーのログイン情報を.csvスプレッドシートにダウンロードし、ユーザーが手動で競合サービスにアップロードできるようにしています。

というか、一度に 1 つのパスキーしか実行できないので、非常に面倒です。

理論上、これは簡単に解決できる問題です。現在のパスワードと同じように、パスキーのエクスポートとインポートを許可すればいいのです。しかし、FIDOはパスワードよりも安全性が高いことを目的としていることから、アライアンスはこれを許可することに消極的です。

懸念されるのは、ユーザーがすべてのパスキーをプロバイダー間で簡単に移動できる場合、ハッカーがこの機能を悪用しようとする可能性があることです。現時点では、FIDOがこの問題にいつ、どのように対処するかは不明です。

「最初から安全に行うのは非常に困難です。なぜなら、誰かがこれらの鍵をすべてエクスポートできるような仕組みを、十分な配慮なしに提供してしまうと、誰が最初にそれに気付くかは明らかです」とスリニヴァス氏は言う。「正当なユーザーではないでしょう。」

最も可能性の高い解決策は、1PasswordやLastPassのようなパスワードマネージャー企業と提携することです。パスワードレスの世界では、これらの企業は新たな役割を担う必要があるからです。1PasswordとBitwardenはどちらもこの実現に自信を持っていますが、FIDOが今年後半か来年初めに初めてリリースされる時点では、おそらく期待すべきではないでしょう。

写真: Nilay Patel/Unsplash

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。