あなたのスマートフォン
見られてはいけないものが入っていますか? ???
スマートフォンに鍵(ロック)をかけていますよね。
パスワード、指紋、場所、声、顔認証、虹彩、他のデバイスなどAndroid端末は、多くの手段でロックを解除する仕組みを持っています。
一方、最新のiPhoneは、顔認証(FaceID)とパスワードの2種類、旧モデルは、指紋認証だけでした。
今回のIT小僧の時事放談は、
パスワード不要な時代が来るかも知れない。Androidが「FIDO2」プロトコルの認定を取得
と題して
「モバイルブラウザー上で動作するウェブサーヴィスでアカウントにログインでパスワードを入力することなく、簡単な認証方法を使えるようになる。」
という時代がやってきそうだ。
小難しい話をできるだけわかりやすく解説しながらブログにまとめました。
最後まで読んでいただけたら幸いです。
スポンサーリンク
目次
「FIDO2」プロトコルの認定
2019年2月25日(米国時間)Androidが、「FIDO2プロトコルの認定」を取得したとGoogleとFIDO Alliance(ふぁいど あらいあんすが発表しました。
む? なんのこと?
と疑問を持たれる方も多いと思いますが、
「Android 7.0以降で動作する端末の大半が、「Chrome」などのモバイルブラウザーでパスワードなしのログインに対応することになる。」
ということです。
えええ?
あぶないんじゃないの?
とご心配のあなた、スマートフォンで最初に指紋などでロック解除しますよね。
そう、そこですべて完了で後は、快適に使えるようになるのです。
でも・・・ 今でもIDとパスワードが自動的に入ります。
そう 確かにブラウザでログイン画面にくると自動的にIDとパスワードが入ります。
でもそれは、ブラウザが持っているのであって共通化した規格ではないのです。
「FIDO2プロトコル」というのは、ざっくり説明すると
「FIDOというのは、IT企業、金融企業がメンバーに名を連ねていて、オンラインIDの専門家が中心となって運営している業界団体」
でそこで決められた標準技術で「FIDO」があり今回は、最新技術の「FIDO2」が使われることになります。
FIDOの主な参加メンバーは、VISA、マスターカード、アメリカンエクスプレスなどの国際的な金融機関
三菱UFJ銀行、NTTドコモ、KDDIといった国内企業をはじめ、多くの企業がFIDO Allianceに参加
参考までに「FIDO」は「Fast Identity Online(すばやいオンラインID認証)」
?直訳すると味気ない団体名だな・・・
パスワードなしのログインの仕組み
最初の規格である「FIDO」は、
スマートフォンやパソコンで指紋認証や顔認証などの生体認証、PINコード認証、二要素認証などのパスコードを使わない認証方式があります。
そこで認証ができてしまえば、アプリケーションにそれを安全に伝える方法(WebAuthnとう呼ばれています)を標準化したもの。
今回使われる「FIDO2」は、アプリケーションだけではなくWebへの応用という技術です。
その仕組みは、指紋認証で説明すると
- 指紋認証でロック解除します。
- 指紋データから電子署名を作成
- 電子署名をパスワードの代わりに使用することでサービス認証を行う。
- サイトに対してパスワードを入力しないのでフィッシングサイトの餌食になりにくい。
ここで大事なのは、「クライアントからサーバーにユーザーIDやパスワードなどを送信することがない」ということです。
クラウドに送られてしまうのは、暗号化されていても、ちょっと怖いですよね。
「FIDO2」は、Web技術の標準仕様を策定しているW3C(World Wide Web Consortium)が、WebブラウザでFIDO2に対応する標準仕様を策定しました。
W3C(Webの標準仕様を司る元締めみないな団体)が関わっているから、変な規格にはなっていません。
現在、FIDO2と、FIDO AllianceとW3Cによってつくられたウェブ標準「Web Authentication(WebAuthn)」は、すべての主要なブラウザーや「Microsoft アカウント」などへのサインインに採用されています。
2019年2月25日(米国時間)、ここにAndroidが加わることになったのです。
Googleは、「Google Play Services」を通じて配布することを検討しているため世界中にあるAndroid 7.0以降で動作しているAndroid端末が、「Chrome」などのモバイルブラウザーでパスワードなしのログインに対応することが可能になりそうです。
残された課題
Android 7.0以降の「Chrome」に実装されてもこの技術が、広まるかは、サービスサイトに委ねられます。
サイトが対応していなければ、役に立たないのです。
FIDO Allianceに加入しているGoogle、Facebook、Paypalをはじめとする多くの企業は、自社サービスにFIDO2[WebAuthn]の対応が完了しています。
今後、金融機関も対応されると考えられています。
しかし、Appleの「Safari」は、未対応、Apple側が、対応しないと実現できません。
実現すれば、iPhoneでも使えるようになるので普及がすすむことでしょう。
まとめ
パスワード不要な時代が来るかも知れない。
増え続けるユーザーIDとパスワードの管理は、面倒。
自分もよくわからなくなる場合が多く、再度パスワードを取得していたりしています。
FIDO2が普及することで便利になりますが、テクノロジーは、つねに破られる宿命
便利の裏側には、危険もあるということは、心がけることが必要です。
少なくてもすべてのサイトで同じパスワードを使うのは、止めましょう。
スポンサーリンク
